Dernière mise à jour le : 18 août 2023
Le RGPD (en français “Règlement Général sur la Protection des Données”) est une directive européenne de mai 2018 qui oblige les entreprises et les administrations à respecter des règles concernant le traitement des données à caractère personnel.
Quelles sont les obligations à respecter et comment les appliquer de façon simple et efficace à l’échelle d’une TPE ou d’une PME ? Ce sont ces points que nous vous proposons d’aborder dans cet article.
Quel est l’essentiel à savoir concernant le RGPD ?
Le RGPD concerne toutes les structures
Rappelons rapidement que toutes les entreprises sont assujetties au RGPD, du moment qu’elles collectent des données personnelles (Nom, email, téléphone, etc) de personnes résidant sur le territoire européen.
Cela concerne ainsi toutes les structures, quelles que soient leurs tailles, et les TPE et les PME sont donc concernés.
Des obligations différentes à établir pour chacun
Bien entendu, toutes les entreprises ne sont pas soumises aux mêmes obligations, et il existe des mesures spécifiques pour les entreprises de plus de 250 salariés, mesures que nous n’allons pas évoquer ici.
Il existe également des mesures particulières pour les entreprises traitant des données sensibles, ou effectuant des traitements de données de masses et / ou systématiques. Si votre structure fait partie de l’un de ces cas, nous vous conseillons de faire appel à un professionnel afin de vérifier la conformité de votre système et de vos procédures, et de procéder aux améliorations nécessaires pour respecter la loi.
À titre informatif, vous trouverez davantage d’information sur les obligations des structures dans ces cas spécifiques dans notre article : RGPD : le DPO est-il obligatoire pour votre entreprise ?
De plus, Déessi vous propose une aide à la mise en conformité RGPD, notamment en partenariat avec des cabinets d’avocats. Pour en savoir plus, rendez-vous ici sur notre page Audit de conformité RGPD.
Comment mettre en œuvre le RGPD simplement ?
Vous êtes une TPE ou une PME et vous souhaitez mettre en œuvre le RGPD de façon efficace au sein de votre entreprise ? Voici les mesures simples que vous devez effectuer :
Étape 1 : Nommer une personne en charge du RGPD
Étape 2 : Constituer un registre de traitement des données
Étape 3 : Faire respecter le droit des personnes
Étape 4 : Mettre en conformité votre système d’information
Étape 5 : Documenter vos procédures
Étape 1 : Nommer une personne en charge du RGPD
Pour prendre en charge la mise en place du RGPD au sein de votre entreprise, il est important de disposer d’un référent. Ce référent aura la responsabilité de mettre en œuvre et de garantir la conformité au RGPD au nom de votre entreprise. Il devra également allouer des moyens humains et financiers pour piloter l’ensemble du projet.
Lorsque la mission du référent RGPD fait l’objet d’un rôle désigné au sein de l’entreprise, avec des attributions spécifiques, on parle plus généralement de DPO ou de délégué à la protection des données.
Désigner un DPO est-il obligatoire ?
Dans les faits, pas nécessairement. Le DPO est obligatoire :
- pour les organismes publics,
- pour les structures de plus de 250 salariés,
- pour les structures effectuant des traitements de données avec un suivi régulier et systématique des personnes à grande échelle,
- pour les structures effectuant un traitement sur des données dites “sensibles”.
Désigner un DPO est-il conseillé ?
Même lorsque la désignation d’un DPO n’est pas obligatoire, elle peut être conseillée. En effet :
- Il s’agit d’une mission qui exige des compétences spécifiques, à la fois juridiques, techniques, organisationnelles et stratégiques.
- La mise en place du RGPD doit être réalisée de façon rigoureuse, sous peine d’être exposé à des sanctions ou à des dommages (dommages juridiques, atteinte à la réputation…)
- Même si votre entreprise n’est pas obligée de disposer d’un DPO, elle doit s’acquitter de ses obligations RGPD et donc, dans les faits, confier ces tâches à une ou plusieurs personnes, qu’elles soient désignées ou non.
DPO : qui peut endosser cette fonction
Le rôle de DPO ou référent RGPD peut être confié, au choix :
- en interne, à un ou plusieurs employés, en complément de leurs missions habituelles ou de façon exclusive,
- externalisé à un partenaire compétent, généralement spécialisé dans les systèmes d’information et / ou leurs aspects juridiques.
Étape 2 : constituer un registre de traitement des données
Comment constituer un registre de traitement des données ?
Le registre de traitement des données et un document qui formalise la manière dont les données personnelles sont exploitées au sein de votre entreprise.
Entre autre, ce document identifie :
- Les activités qui nécessitent une exploitation des données personnelles,
- Les finalités de cette exploitation (démarchage commercial, RH, analyse statistique…)
- Les types de données utilisées,
- Les personnes ayant accès à ces données,
- La durée de conservation des données.
- Si les données présentent des risques particuliers, s’il s’agit de données sensibles,
- Les acteurs qui traitent ces données,
- La localisation des données (lieu d’hébergement ou de transfert)
Pour réaliser votre propre cartographie de traitement des données :
- La CNIL met à disposition un modèle de fiche de registre ici : https://www.cnil.fr/sites/default/files/atoms/files/registre-reglement-publie.xlsx
- Déessi vous assiste dans la réalisation d’une cartographie de vos données, de façon pragmatique et efficace, pour une mise en conformité RGPD. Contactez-nous.
Étape 3 : faire respecter le droit des personnes
Comment faire respecter le droit des personnes ?
Pour faire respecter le droit des personnes, vous devez informer ces dernières dès lors que vous collectez des données personnelles, et vous devez leur permettre de faire exercer leur droit de suppression, de modification ou de récupération de ces données.
Les questionnaires ou formulaires que vous utilisez pour recueillir ces données, typiquement, sur votre site web, doivent comporter un certain nombre d’informations (exemple : la raison pour laquelle vous collectez ces données…)
Etape 4 : mettre en conformité votre système d’information
Respecter les principes du RGPD pour la collecte des données
Principe de minimisation : Vous êtes censés ne collecter que les données strictement essentielles et adéquates.
Respect du droit au consentement explicite : Pour exploiter des données personnelles, vous devez obtenir le consentement explicite des personnes concernées par le traitement et vous devez pouvoir en apporter la preuve.
Respect des droits individuels liés aux données :
- Droit d’accès : Les personnes doivent pouvoir voir leurs données.
- Droit de rectification : Les personnes doivent pouvoir corriger leurs données si elles sont inexactes.
- Droit d’opposition : Les personnes doivent pouvoir s’opposer à l’utilisation de leurs données.
- Droit à l’effacement : Vous devez supprimer les données des personnes à temps lorsqu’elles le demandent.
- Droit à la portabilité : Les individus doivent pouvoir récupérer leurs données dans un format lisible et structuré.
Renforcer la sécurité des données
Le RGPD met l’accent sur la nécessité de garantir la sécurité des données, selon les principes suivants :
Fuite de données (Data breach) :
- Vous devez disposer d’un plan de gestion des incidents afin de mettre en place des process en cas de violations de données (data breach).
- Vous avez une obligation de notification de la CNIL sous 72h en cas de violations de données à caractère personnel.
Vous devez avertir les personnes concernées par la fuite dans les meilleurs délais, notamment lorsqu’il s’agit d’un problème présentant un haut risque, comme le vol de mots de passe ou de numéros de cartes bancaires.
Renforcement de la sécurité des systèmes : Il est demandé aux organismes de mettre en place des mesures de sécurité afin de minimiser les risques d’accès non autorisés aux données. Différents outils peuvent être utilisés, tels que des outils de chiffrement, de pseudonymisation, d’anonymisation, ou de détection de fuite de données.
Privacy by design : Dans le cadre de développements informatiques, Il s’agit de l’obligation de prendre en compte la notion de respect de la vie privée dès la conception d’un système d’information, d’une base de données ou d’une application.
Étape 5 : Documentation
Une fois ces procédures mises en place, il vous faut encore prouver votre conformité au RGPD par la documentation de l’ensemble de ces actions et résultats.
Ces documents devront être actualisés régulièrement pour assurer le maintien de la conformité RGPD.
Ainsi, votre Documentation RGPD doit notamment comporter :
- Le registre des traitements des données
- L’encadrement des transferts de données hors de l’Union européenne,
- Les modèles de recueil du consentement des personnes et les preuves que les personnes concernées ont donné leur consentement,
- Les procédures mises en place pour l’exercice des différents droits (droit à la portabilité, droit à l’oubli…),
- Les contrats avec les sous-traitants, pour définir leurs rôles et leur responsabilité dans la gestion des données. Il est important de revoir ces contrats fournisseurs, car le RGPD met fin à l’immunité des sous-traitants en introduisant un principe de coresponsabilité. Attention cependant, le principal responsable de la prise en charge du RGPD d’un organisme reste son dirigeant lui-même.
- Les procédures de sauvegarde et de récupération des données mises en place en cas de perte,
- Les procédures en cas de violations de données,
- Les méthodes et la périodicité de révision des procédures.
Un besoin, une demande ? Déessi vous accompagne
Déessi vous propose régulièrement des ressources sur la thématique du RGPD. Vous pouvez consulter, par exemple, notre article : Comprendre le RGPD en 10 points.
Enfin, pour en savoir plus ou pour nous soumettre votre besoin, consultez notre page Audit de Conformité RGPD ou Contactez nous !