RGPD / GDPR … votre entreprise est-elle en ordre ?

Le Règlement européen sur la protection des données personnelles (RGDP ou GDPR  en anglais) d’application depuis mai 2018 concerne aussi les petites entreprises . Ne pas le respecter peut coûter cher, très cher…

Beaucoup d’entrepreneurs pensent que le GDPR ne s’appliquera qu’à certaines grandes entreprises qui disposent de quantités énormes de données personnelles. C’est une idée fausse !

Le GDPR s’appliquera à quasi toutes les entreprises… puisque dans les faits, toutes disposent d’informations se rapportant à des personnes physiques identifiées ou identifiables : listing clients, données comptables, … en version électronique ou sur support papier.

Le constat est donc simple : si une entreprise traite (stocke, utilise, transmet, …) des données relatives à des personnes identifiées ou identifiables, elle doit respecter le GDPR, qu’elle soit localisée ou non en Europe. Seul compte le fait de cibler des citoyens européens.

Le niveau d’exigence ne sera pas le même en fonction du type de données traitées et le volume de celles-ci. Ainsi, une petite entreprise ne sera pas soumise au même niveau d’exigence qu’une multinationale telle que Facebook. Il n’y a que quelques formalités auxquelles les PME et les TPE échappent.

Comment respecter le GDPR en pratique ?

La première étape est d’effectuer un état des lieux de tous les types de données que l’entreprise conserve, suivi de l’identification des données à caractère personnel.

Parmi celles-ci, on en distinguera certaines appelées communément « données sensibles ». Un mauvais usage de ces données serait particulièrement dommageable pour la personne, comme, par exemple, des informations relatives à la santé, l’appartenance religieuse ou syndicale, ou encore l’orientation sexuelle. Ces données sont soumises à des règles particulières plus strictes afin d’éviter tout risque de détournement.

Une fois cet inventaire dressé, l’entreprise doit, pour chaque type de données, par exemple une date de naissance, consulter ses clients pour vérifier qu’elle peut conserver ces données.

  1. Dans quel but l’entreprise dispose-t-elle d’une donnée ? Est-ce nécessaire de la garder ? S’il n’y a aucune raison précise de la garder, il faut la supprimer ou éventuellement l’anonymiser.
  2. Quel fondement juridique permet à l’entreprise de traiter cette donnée ? S’il n’y a pas de fondement juridique valable, l’entreprise ne peut pas la garder.

Voici les quatre principaux fondements repris dans le GDPR :

    1. La personne a donné son autorisation pour que vous utilisiez ses données dans un but précis et uniquement dans ce but (pas d’autorisation générale). La personne doit avoir marqué son accord sur ce que l’entreprise va faire avec ses données.
    2. L’entreprise a une obligation légale de conserver ce type de données (par exemple des obligations fiscales).
    3. Ces données sont nécessaires pour exécuter un contrat conclu avec la personne (par exemple une adresse de livraison).
    4. L’entreprise a un intérêt légitime à utiliser ces données et cela n’est pas (trop) préjudiciable pour la personne (par rapport à sa vie privée par exemple). Cette mise en balance des intérêts doit se faire avec beaucoup de précaution.

La donnée est-elle exacte et encore d’actualité ? Si ce n’est pas le cas, il faut l’effacer ou essayer de la mettre à jour.

Les principales obligations à respecter

Cet effort de cartographie effectué,  il faut encore respecter une série d’obligations

  1. La première étape est de vérifier si l’entreprise doit désigner un délégué à la protection des données. Si toutes les entreprises n’ont pas l’obligation d’en nommer formellement un, il est préférable dans tous les cas qu’une personne spécifique soit chargée de s’occuper de ces questions, par exemple le juriste d’entreprise. Le cas échéant il est possible de faire appel à un conseiller extérieur (consultant, avocat). Il aura principalement pour tâche d’assurer de manière parfaitement indépendante le respect de la législation et la sensibilisation de l’ensemble du personnel de l’entreprise à ces nouvelles règles. De la comptabilité au business en passant par les ressources humaines, tous les services doivent être impliqués.
  2. Il faut ensuite établir un registre de traitements. Si l’entreprise a suivi les conseils donnés précédemment, il est possible de repartir de l’inventaire des données déjà effectué. Ce registre, qui se présente généralement sous la forme d’un tableau, reprendra pour chaque type de données personnelles une série d’informations sur la manière dont les données sont traitées et comment elles sont gérées chacune spécifiquement. Une nouvelle fois, ce registre n’est pas obligatoire pour toutes les PME. Mais en pratique, cet exercice de cartographie est nécessaire pour respecter les autres obligations qui incombent à une entreprise.
  3. Sur base de ce registre, il convient d’évaluer les risques et dangers pour les personnes (clients, usagers, …) dont les données sont traitées en cas de vol, d’altération, de suppression, … Afin de limiter ces risques, il faudra mettre en place les mesures de protection nécessaires. Cela passera notamment par une bonne sécurité informatique (mots de passe solides, antivirus, …) et la mise en place d’une politique de bonne gestion de l’information dans l’entreprise.  En cas d’incident majeur (vol de données par exemple), il est obligatoire d’en informer la Commission de Protection de la Vie Privée et, dans certains cas, les personnes concernées par les données.
  4. Ensuite, une réévaluation de la fiabilité et du sérieux des sous-traitants est nécessaire. Par sous-traitant, il faut comprendre les personnes extérieures à l’entreprise qui traitent des données personnelles pour son compte (hébergeur, consultant IT, …). Il faut vérifier que ces sous-traitants offrent des garanties techniques et organisationnelles suffisantes quant au respect des grands principes de bonne gestion énumérés précédemment. Ceci doit notamment apparaître dans les contrats conclus avec ces derniers.
  5. Enfin, il faut envisager les questions liées à l’usage du cloud pour héberger des données personnelles.  En principe, il est interdit de mettre les données personnelles dans un cloud dont les serveurs ne sont pas clairement localisés en Europe. Si l’entreprise souhaite stocker ses données hors d’Europe, il est nécessaire de passer par des partenaires qui peuvent fournir des garanties appropriées équivalentes à celles imposées en Europe par le RGPD.

Droit des personnes concernées

Si les entreprises ont une série d’obligations, les personnes à propos desquelles l’entreprise stocke des données ont des droits auxquels elle doit pouvoir répondre dans des délais raisonnables.

En résumé, il existe deux grandes catégories de droits :

  • le droit à la transparence,
  • le droit de contrôle sur ses données.

Les entreprises ont l’obligation d’informer les personnes au sujet des données qu’elles possèdent à leur sujet et de ce qu’elles en font précisément.

En plus de cette transparence, ces personnes peuvent demander, dans certains cas, que ses données soient effacées, que l’entreprise leur fournisse une copie de ses données et que certaines données erronées soient corrigées.

En conclusion, le RGPD s’applique à quasi toutes les entreprises .

Les démarches à entreprendre sont certes contraignantes et parfois techniques, mais les risques sont trop grands pour être ignorés.

Dans cette perspective, il est conseillé de consulter le site de la Commission de Protection de la Vie Privée où le RGPD est présenté et expliqué de manière détaillée. 

Si une entreprise de dispose pas des ressources internes pour lancer le processus de régularisation, il est conseillé de faire appel à des prestataires extérieurs spécialisés.

Vous souhaitez avoir l’esprit libre pour consacrer toute votre énergie à bâtir ou développer votre entreprise ? Les experts d’ODB sont vos alliés pour affronter l’économie en mouvement dans laquelle nous vivons.????

Contactez-nous maintenant :

Par l’envoi de notre formulaire de contact, vous nous accordez le droit de stocker vos informations personnelles dans la base de données de ODB. Ces informations ne seront utilisées que pour répondre aux demandes que vous avez exprimées dans notre formulaire de contact et pour vous envoyer nos newsletters. Aucune information à votre sujet ne sera divulguée à un tiers. Vous aurez toujours la possibilité de vous désinscrire de notre liste d’emailing en sélectionnant l’option « se désinscrire » disponible en bas de newsletter.