Le RGPD

mise-en-place-RGPD

Depuis le 25 mai 2018, le RGPD est en vigueur, et toutes les entreprises y sont soumises, permettant ainsi à tous les citoyens un meilleur usage de leurs données personnelles.
Le RGPD remplace au niveau européen une directive de 1995 qui était devenue désuète et inadaptée. Il s’applique à tous les membres de l’Union européenne offrant ainsi une unité sur tout le continent.

Comment définir une donnée personnelle ?

Le RGPD encadre et protège l’usage qui peut être fait par un site internet des données personnelles ou données à caractère personnel. Il peut s’agir d’un nom, d’une adresse IP, d’une photo, d’un identifiant de connexion, d’une photo, d’une empreinte, d’une adresse électronique ou postale, d’un mail, d’un numéro de téléphone ou de sécurité sociale…
Certaines de ces informations sont dites « sensibles », car elles peuvent dans certains cas entrainer des discriminations : âge, sexe, lieu de résidence etc… Il était donc nécessaire d’encadrer leur collecte et d’obtenir le consentement des usagers pour le recueil et la conservation de ces informations.

Quelles entreprises sont concernées par cette mise en conformité ?

Absolument toutes les entreprises sont concernées, dès lors que des données personnelles leurs sont transmises (salariés, clients etc…). Cependant, pour les sociétés de moins de 250 salariés la procédure est « allégée ». En effet, ces dernières ne doivent appliquer le RGPD que sur : le traitement des données récurrentes (paie, fournisseurs, clients/prospects), les traitements sensibles en termes de droits et libertés individuelles (vidéosurveillance, géolocalisation). Et les données médicales et légales (taux d’imposition ou infractions par exemple).

Comment mettre en œuvre la démarche RGPD ?

Au travers de quelques étapes simples, nous allons vous expliquer comment réaliser un plan de mis en conformité RGPD.

  1. Lister les données collectées et leur traitement :
    Les informations personnelles qu’une entreprise peut détenir sont nombreuses et variées. Elles concernent les données du personnel, celles des clients, et parfois celles de fournisseurs. Afin de procéder à la mise en conformité de leur traitement, il faut tout d’abord procéder à leur recensement. Le mieux pour vous est de confier cette tâche à un référent dans votre entreprise. Le plus souvent, ce registre sera confié au dirigeant de l’entreprise.
    L’idéal est de créer une fiche par type de traitement de données (gestion de la paie, recrutement, prospection, relance comptable etc…). Le CNIL propose sur son site un modèle à télécharger et personnaliser.
  2. Evaluer leur nécessité et leur pertinence :
    Une fois le recensement exhaustif fait, place au tri ! Afin de limiter les risques et d’optimiser le traitement, il est nécessaire de trier les données utiles des superflus. Par exemple si vous offrez une prime de Noël à vos salariés et qu’elle est majorée s’ils ont des enfants, il est pertinent de connaitre la composition de leur famille. Le cas échéant, si la prime est la même pour tous, cette donnée n’a pas à être conservée.
    Une fois les grandes catégories d’utilisation de ces informations déterminées, il faut ensuite arbitrer les personnes habilitées à en prendre connaissance. Par exemple, un responsable commercial est légitime à avoir accès au fichier client, en revanche les fiches du personnel ne lui sont pas indispensables.
    Pour finir, il faudra déterminer la durée de conservation de données. Cette durée est souvent scindée en deux phases : l’utilisation opérationnelle et l’archivage.C’est aussi le moment d’optimiser vos process pour les années futures ! Et pourquoi pas mettre en place de nouvelles procédures, afin de ne plus collecter d’éléments non-pertinents, d’optimiser le traitement et d’améliorer l’archivage.
  3. Respecter le consentement :
    Une fois le recensement et le tri fait, la procédure RGPD implique d’informer les personnes de leur droit et de respecter leurs choix.
    A chaque nouvelle collecte de données, quel que soit le canal, vous vous devez d’informer votre interlocuteur de ses droits et du traitement qu’il sera apporté à ses données. Pour ce faire, vous devez pourvoir répondre à des questions simples : pourquoi collecter cette information, qui y aura accès et combien de temps. Vous avez également l’obligation légale d’informer les personnes de leurs droits et de comment les exercer (par courrier, sur leur espace client sur le site internet etc…). Vous devez également préciser si ces données seront traitées hors de l’Union européenne.
  4. Conserver et mettre en sécurité les données RGPD :
    Il est de votre devoir de protéger les informations qui vous sont confiées. Et vous devez tout mettre en œuvre pour garantir leur sécurité. Une faille de sécurité au sein de votre entreprise peut avoir de lourdes conséquences, tant pour vous (pertes de données, dégradation de l’image) que pour vos clients et collaborateurs. C’est le moment de mettre à jour les logiciels de protection (anti-virus par exemple), d’opter pour le chiffrement de vos données et de faire des sauvegardes.
    Vous pouvez également réfléchir à vos pratiques actuelles pour les faire évoluer : augmenter la complexité des mots de passe, renforcer la sécurité de l’accès aux locaux, reprendre les accréditations de vos collaborateurs pour l’accès aux données et vérifier les procédures de sauvegarde et de récupération de ces dernières.

Quelles sont les sanctions encourues en cas de non-respect des étapes RGPD ?

Au cours de l’année 2021, une petite vingtaine de sanctions ont été prononcées par la CNIL, tant pour des défauts d’informations, que pour le non-respect au droit d‘accès ou la durée de conservation ou le manque des pertinences des informations collectées. Tous les aspects règlementaires ont malheureusement été sanctionnés. Les amendes s’échelonnent de plusieurs milliers d’euros à plusieurs centaines de milliers.

Puis-je faire appel à un sous-traitant pour gérer la RGPD obligatoire ?

Non, la mise en place RGPD doit être faite au sein de votre entreprise et vous devez vous porter garant pour vous, et vos propres sous-traitants. En effet si vous faites appel à des sociétés de marketing ciblé pour l’envoi de vos courriers ou des plateformes d’appels pour votre service client ou tout simplement un cabinet comptable pour la gestion de la paie, vous devez vous assurer qu’il soit en mesure de garantir la sécurité des données personnels de vos clients et collaborateurs.

Vous êtes une entreprise et souhaitez améliorer votre visibilité en bénéficiant d'outils et de services en ligne performants ?

Améliorer la visibilité de mon entreprise