Comment se mettre en conformité avec le RGPD pour les PME et TPE ?
Les données sont aujourd’hui omniprésentes dans notre société, à tel point que l’on parle même de « l’or noir de la data » pour :
- Gagner en efficacité
- Personnaliser la relation clients
- Conquérir de nouveaux marchés
- Améliorer les produits et services
- Faciliter la collaboration et la mobilité
Afin de s’adapter à ces enjeux tout en garantissant une meilleure maîtrise des données personnelles, le Règlement Général sur la Protection des Données (RGPD) est entré en application le 25 mai dernier. Ce nouveau règlement européen s’inscrit dans la continuité de la Loi française « Informatique et Libertés » de 1978. D’une part, il renforce le contrôle par les citoyens de l’utilisation qui peut être faite des données qui les concernent. Et d’autre part, il responsabilise davantage les organismes publics et privés qui traitent leurs données.
Adapter les moyens à déployer pour vous mettre en conformité, avec bon sens et organisation.
Si les données personnelles ne sont pas au coeur de votre activité, les actions à déployer pour vous mettre en conformité avec le RGPD ne seront pas très importantes ! En effet, les critères à prendre en compte sont le volume ou la sensibilité des données plutôt que la taille ou le nombre d’employés.
Qui est concerné par le RGPD ?
Le RGPD s’applique à toute organisation qui traite des données personnelles, dès lors :
- qu’elle est établie sur le territoire de l’Union européenne ;
- que son activité cible directement des résidents européens.
Qu’est-ce qu’une donnée personnelle ?
Une « donnée personnelle » est « toute information se rapportant à une personne physique identifiée ou identifiable ». Une personne peut être identifiée :
- directement (exemple : nom, prénom) ;
- indirectement (exemple : par un identifiant (n° client), un numéro (de téléphone), une donnée biométrique, plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale, mais aussi la voix ou l’image).
Qu’entend-on par « traitement de données personnelles » ?
Un « traitement de données personnelles » est une opération (ou un ensemble d’opérations) portant sur des données personnelles, quel que soit le procédé utilisé (collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission, diffusion ou toute autre forme de mise à disposition, rapprochement). Un traitement de données doit avoir un objectif, et les données exploitées doivent servir l’objectif prévu.
Mettre en place une démarche de mise en conformité avec le RGPD en quatre étapes.
- Recenser les fichiers dans un registre en les classant selon l’activité concernée : recrutement, gestion de la paye, formation, gestion des badges et des accès, statistiques de ventes, gestion des clients prospects, etc.). Pour chaque activité, préciser l’objectif poursuivi, les catégories de données utilisées, qui a accès aux données et la durée de conservation de ces données.
- Trier et actualiser les données collectées pour ne conserver que celles dont vous avez réellement besoin.
- Informer en toute transparence les personnes dont vous traitez les données : pourquoi vous collectez les données, ce qui vous autorise à les traiter, qui a accès à ces données, combien de temps vous les conservez, les modalités selon lesquelles les personnes concernées peuvent exercer leurs droits et si vous transférez des données hors de l’Union européenne.
- Sécuriser les données : Les mesures à prendre dépendent de la sensibilité des données que vous traitez et des risques qui pèsent sur les personnes en cas d’incident (mises à jour de vos antivirus et logiciels, changement régulier des mots de passe et utilisation de mots de passe complexes, ou chiffrement des données)
Le sous-traitant, un acteur-clé dans le traitement des données personnelles
Le sous-traitant est la personne physique ou morale qui traite des données personnelles pour votre compte (par exemple dans le cadre d’opérations de prospection). Si vous restez le « responsable de traitement », le prestataire est également concerné en qualité de sous-traitant. Ces derniers sont tenus de respecter des obligations spécifiques en matière de sécurité, de confidentialité et de documentation de leur activité. Pour déterminer vos obligations et celles de vos sous-traitants, il est nécessaire de rédiger un contrat.
Les cas particuliers : données à risque, traitements particuliers et transfert des données hors UE
Les données dites « sensibles » ou à risque : origine raciale ou ethnique, opinions politiques, philosophiques ou religieuses, appartenance syndicale, santé, orientation sexuelle, données génétiques ou biométriques, données d’infraction ou de condamnation pénale. Toutes ces données ne peuvent être utilisées que sous certaines conditions strictement encadrées par la loi Informatique et libertés et par le RGPD.
Certains traitements spécifiques doivent vous conduire à une analyse d’impact sur la protection des données (PIA : Privacy Impact Assesment), avant de commencer les opérations de traitement.
Pour le transfert des données hors UE, vérifiez si le pays hors Union européenne vers lequel vous transférez les données dispose d’une législation de protection des données et si elle est reconnue adéquate par la Commission européenne. Sinon, vous devrez encadrer juridiquement vos transferts pour assurer la protection des données à l’étranger.
Dans quel cas désigner un délégué à la protection des données ?
Cette désignation est obligatoire pour certaines entreprises opérant des traitements à grande échelle présentant des risques particuliers. Dans les autres cas, la désignation d’un délégué est recommandée, notamment si votre activité vous impose de mener une analyse approfondie du RGPD (cf ci-dessus)
Transformer la contrainte légale en une opportunité pour votre entreprise
Au-delà des obligations légales à comprendre et à respecter, préparer son entreprise à ce nouveau cadre européen représente une opportunité de sécurisation et de protection de ses données. La responsabilité accrue des entreprises dans la gestion de leurs données, alliée aux principes de transparence et de loyauté, constituent le fondement de la confiance entre acteurs économiques et citoyens. C’est aussi un vecteur d’accélération de la maturité digitale de l’entreprise. Développer son activité en conformité avec le RGPD, c’est aussi (re)découvrir la richesse que constituent les données personnelles pour une entreprise. Leur valorisation, dans une démarche éthique, permet à celle-ci de créer des services innovants, qui plus est de façon harmonisée pour l’ensemble du marché européen.
Les outils conseillés par RSM PACA dans le cadre de votre mise en conformité avec le RGPD
Pour vous aider dans votre démarche de mise en oeuvre, le guide proposé par BPI France et la CNIL vous rappelle, de façon simple, les avantages que vous pouvez en obtenir, les principales notions à connaître ainsi que les actions essentielles à engager.
Guide RGPD pour les TPE et PME – BPI CNIL
L’outil suivant nous a également paru pertinent, utile et pragmatique pour initier la démarche :
Enfin, et si vous en ressentez le besoin, n’hésitez pas à nous contacter pour que nous puissions vous guider sur la démarche ou vous orienter vers l’interlocuteur adapté.
