TPE – PME : le RGPD en six points clés pour réussir sa mise en conformité

Le Règlement Général sur la Protection des Données personnelles (RGPD) est un règlement européen entré en vigueur le 25 mai dernier. Il renforce le droit des personnes et harmonise la protection des données personnelles au sein de l’Union Européenne.

1. le rgpd, votre entreprise est-elle concernée ?

Est soumis au RGPD tout organisme (société, association), quelle que soit sa taille ou le nombre de ses salariés, dès lors qu’il met en œuvre des traitements de données personnelles, qu’il agisse pour son propre compte, en qualité de Responsable de Traitement ou pour le compte et sur les instructions d’une autre entité, en qualité de Sous-Traitant.

Le champ d’application territorial du RGPD est extrêmement large. En effet, le RGPD s’applique (i) aux organismes disposant d’un établissement situé sur le territoire de l’Union Européenne ou (ii) aux organismes non établis dans l’UE, dès lors qu’ils ciblent dans leur activité des résidents européens.

En pratique : Il y a toutes les chances pour que votre entreprise soit concernée par le RGPD.

2. le rgpd, la partie émergée de l’iceberg

Un grand nombre d’obligations en matière de données personnelles reprises par le RGPD sont déjà en vigueur depuis la loi Informatique et Libertés du 6 janvier 1978. Ainsi, la plupart des obligations avec lesquelles vous aurez à vous mettre en conformité ne constituent pas de nouvelles obligations.

Si la CNIL s’est montrée rassurante en précisant qu’elle adoptera une posture d’accompagnement pour les nouvelles dispositions, l’ensemble des praticiens anticipe sur les obligations déjà existantes une approche plus rigoureuse de l’autorité de contrôle.

En pratique :

Attelez-vous dès à présent au chantier que représente la mise en conformité à la législation applicable, en gardant à l’esprit que, s’agissant des obligations nouvelles posées par le RGPD, le tout est d’avoir mis en œuvre une démarche en ce sens et d’être en mesure d’en justifier.

3. le RGPD, une gestion de risque

Les risques encourus sont désormais accrus car le RGPD a largement alourdi les amendes administratives qui peuvent être imposées par les autorités de contrôles :

  • Risque financier : certaines infractions peuvent faire l’objet d’amendes s’élevant jusqu’à de 4 % du chiffre d’affaires de l’entreprise ou 20 Millions d’Euros ;
  • Risque d’exploitation et commercial : du fait de sanctions administratives du type interdiction de traitement de données personnelles, qui peuvent revenir à suspendre l’activité de l’entreprise ;
  • Risque d’image pour l’entreprise : du fait du contexte largement médiatisé que prend aujourd’hui toute sanction ;
  • Risque de sanctions pénales.

En pratique :

Le suivi régulier de personnes à grande échelle ou encore la collecte régulière de données dites « sensibles » doit vous alerter sur les risques encourus et vous amener à initier dès à présent un chantier de mise en conformité au RGPD.

Les données sensibles incluent toutes les données permettant directement ou non de recueillir des informations sur l’origine raciale ou ethnique, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale, la santé ou la vie sexuelle d’une personne.

4. décoder le principe «d’accountability »

Le règlement met en place une logique « d’accountability», c’est à dire de responsabilisation des acteurs économiques.

Qu’elle intervienne en qualité de Responsable de Traitement ou de Sous-Traitant, chaque entreprise doit désormais prouver qu’elle se conforme bien à ses obligations en matière de protection des données personnelles.

L’accountability se décline en un certain nombre de nouvelles obligations :

  • La tenue d’un registre des traitements qui met fin au régime de la déclaration préalable auprès de la CNIL. Le registre des traitements doit être tenu à la disposition de la CNIL à tout moment,
  • La désignation d’un Délégué à la Protection des Données (DPO),
  • Mener dans certains cas une Etude d’Impact sur la Vie Privée (EIVP).

En pratique :

Pour dresser le registre des traitements de votre entreprise, il convient au préalable d’établir une cartographie des traitements de données personnelles mis en œuvre. Figureront au registre pour chaque type de traitement (i) les finalités du traitement (ii) les catégories de personnes visées (iii) la nature des données traitées, en identifiant le cas échéant les données sensibles et (iv) les destinataires auxquels ces données sont transmises.

5. mon entreprise est-elle tenue de designer un delegue à la protection des donnees ?

La nécessité de désigner un DPO est incontournable lorsque les sociétés (Responsable de Traitement ou Sous-Traitants) sont amenées, par leurs activités de base (i) à réaliser un suivi régulier et systématique des personnes à grande échelle, ou (ii) à traiter des données sensibles ou des données relatives à des condamnations pénales et à des infractions.

Le RGPD ne définit pas la notion de traitement à grande échelle mais le G29 (Groupe des autorités de protection européenne) en donne une interprétation très large.

En pratique :

Votre entreprise est tenue de désigner DPO un si :

  • elle collecte de manière habituelle un grand nombre de données personnelles
  • et/ ou

  • elle collecte des données sensibles ou emploie un certain nombre de salariés.

6. qu’est-ce qu’une violation de donnees personnelles et que faire si une telle violation survient au sein de mon entreprise ?

Toute destruction, perte, divulgation ou accès non autorisé à des données qui est susceptible d’engendrer un risque pour les personnes, doit faire l’objet d’une notification auprès de la CNIL dans un délai restreint.

Ce type d’incident, encore nommé « fuite de données » doit être évité à tout prix en mettant en œuvre au sein de l’entreprise un ensemble de bonnes pratiques visant à sécuriser la conservation des données.