Depuis mai 2018, le « RGPD » - Règlement Général sur la Protection des Données – est incontournable : des procédures médiatiques contre Google ou Amazon engagées par le gendarme français de la protection des données personnelles, la CNIL – Commission Nationale de l’Informatique et des Libertés- à l’application « Tousanticovid » du gouvernement, la question du RGPD revient souvent sur le devant de la scène.
Pourtant, de nombreux chefs d’entreprise pensent ces récentes contraintes sont réservées aux géants du WEB tandis que d’autres peinent à définir les contours de ces obligations.
Faisons le point ensemble en quelques questions-réponses afin d’intégrer ces dispositions dans le fonctionnement et le quotidien de votre entreprise et vous simplifier ainsi la compréhension et la mise en œuvre de ce RGPD.
Qu’est-ce que le RGPD ?
Le Règlement Général sur la Protection des Données est un règlement européen – et à ce titre directement applicable au sein de l’Union Européenne - est entré en vigueur le 25 mai 2018.
Le RGPD, entend renforcer les droits des personnes physiques dont les données sont collectées mais aussi les protéger contre la cybercriminalité dont les entreprises peuvent être la cible. Il vise à leur conférer plus de maîtrise sur leurs données personnelles.
Il introduit pour ce faire de nouvelles règles concernant la collecte, la gestion et la sécurité de ces données personnelles.
Quelles sont les données concernées ?
Ce règlement vise l’ensemble des informations permettant l’identification directe ou indirecte d’un individu : un nom, un numéro d’identification, un numéro de téléphone, des données de localisation, un identifiant en ligne, un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale et ce, quel qu’en soit le support (fichier informatique ou papier, post it...).
Quelles sont les entités ou entreprises concernées ?
Toutes les organisations (sociétés, entreprises, associations, administrations...), qu’elles soient publiques ou privées, quel que soit leur taille ou leur secteur, sont concernées dès lors qu’elles traitent des données personnelles relatives à un résident européen.
Si les géants américains (les « GAFAM ») sont les premiers visés par ces dispositions, celles-ci s’appliquent également à toute entreprise dans la mesure où chacune traite inévitablement chaque jour des données personnelles (fichiers R.H., clients, fournisseurs….).
D’ailleurs plusieurs entreprises françaises, de tailles diverses, ont déjà fait l’objet d’injonctions ou de sanctions.
Votre entreprise, TPE ou PME, est donc directement concernée.
Quels sont les principes et nouveaux droits instaurés par le RGPD ?
Parmi les principes posés et les nouveaux droits créés afin de renforcer les droits des personnes on peut citer :
- L’exigence d’un consentement clair des personnes concernées,
- Le droit à l’oubli, à la purge et à la portabilité des données personnelles,
- Un renforcement des obligations en matière de sécurité des données,
- Une responsabilisation accrue des acteurs concernés.
Quelles sont les actions à mener en pratique ?
L’entreprise devra être en mesure de démontrer qu’elle a pris en compte ces nouvelles exigences concernant les données personnelles et que les procédures internes et outils mis en place garantissent ainsi le respect des principes posés par le RGPD.
Elle doit le cas échéant désigner un Délégué à la Protection des données (ou DPO pour Data Privacy Officer), et tenir un registre des traitements des données personnelles.
Une logique de conformité continue remplace la plupart des formalités préalables de déclaration ou autorisation auprès de la CNIL.
Vous noterez que de nombreuses fonctions sont impactées au sein de l’entreprise (recrutement, traitement de la paye, relations commerciales et contractuelles, informatique…).
Quelles sont les sanctions de la non-conformité ?
Dans cette logique de responsabilisation des acteurs dans le traitement des données personnelles, il est prévu tout un arsenal de sanctions : de lourdes amendes administratives pouvant atteindre 4 % du chiffre d’affaires annuel mondial ou 20 millions d’euros, et des sanctions pénales en cas d’atteinte aux droits de la personne.
En sus de ces sanctions pouvant découler d’un contrôle de la CNIL, l’entreprise est également susceptible de devoir indemniser toute personne ayant subi un dommage du fait du non-respect des dispositions du RGPD.
Consciente du poids de cette mise en conformité pour les TPE et PME la CNIL a d’ores et déjà mis en place un certain nombre d’outils permettant à toutes les entreprises d’intégrer les principes posés par le RGPD.
Quoi qu’il en soit les enjeux sont tels que votre entreprise ne peut plus faire l’impasse sur cette mise en conformité et doit adopter les bons réflexes. La CNIL a d’ailleurs annoncé la fin de la période de tolérance pour les PME-TPE, même si elle continue à faire preuve d’une certaine bienveillance à l’égard des petites entreprises de bonne volonté.
Au-delà des sanctions évoquées, une telle mise en conformité contribuera à l’amélioration et l’optimisation de votre organisation et à la valorisation de l’image de votre entreprise.
Nos avocats se tiennent à votre disposition pour toute question ou complément d'information.
L’objectif des avocats de FIDUCIAL Sofiral Avocats : contribuer à sécuriser vos processus et à faire de votre entreprise un acteur responsable dans le domaine sensible des données personnelles.
Pour tout savoir du RGPD, retrouvez notre dossier complet "Le RGPD, pour moi aussi". Retrouvez toutes nos offres de conseils et accompagnement juridiques sur notre site.