Dans le cadre de ses missions, toute entreprise est amenée à collecter et traiter des données personnelles, notamment celles de ses clients, fournisseurs ou salariés qui sont en lien avec ses activités commerciales et professionnelles.
Dans cet article nous vous aiderons à comprendre les fondamentaux de l’expérience RGPD au sein des très petites et moyennes entreprises. Alors suivez-nous, c’est par ici !
LA GESTION DE LA RGPD DANS LES ENTREPRISES
TOUTES LES ENTREPRISES DOIVENT RESPECTER LA RÉGLEMENTATION RGPD :
Le RGPD s’appliquant à toutes les entités privées ou publiques traitant de données personnelles, les TPE-PME sont forcément soumis au RGPD en tant que personne morale de droit privé.
Tout organisme qu’il soit public ou privé s’il traite des données à caractère personnel doit avoir la capacité de démontrer qu’il respecte la règlementation RGPD. Pour une majorité d’entreprises, de professions libérales, de collectivités ou d’associations, la marche à gravir est souvent haute.
À ce titre en cas de contrôle ou de plainte : Vous devez apporter la preuve de la mise en œuvre des moyens techniques de protection suffisants dans le domaine du traitement interne des données.
Ainsi chaque organisme doit intégrer les objectifs de la RGPD au cœur de son fonctionnement quotidien et disposer des ressources lui permettant d’accomplir pleinement ses missions imposées par la loi en matière de conformité à la réglementation RGPD.
Préparer son entreprise, à la mise en conformité avec la RGPD est donc non seulement une obligations légale susceptible de sanctions, mais aussi une opportunité de sécurisation et de protection de vos données digitales.
Le simple fait de collecter et d’utiliser les mails personnels ou professionnels de clients, fournisseurs ou de salariés pour leur communiquer des informations (ou traiter leurs dossiers) constitue un traitement de données à caractère personnel.
Si la collecte des données est faite auprès d’un tiers et non pas de l’intéressé, le responsable du traitement dispose d’un délai d’1 mois pour fournir les informations au salarié (Article 14 du règlement).
CE QUE L’ENTREPRISE DOIT FAIRE POUR SE CONFORMER AU RGPD :
Comme toute entité traitant de données â caractère personnel, les TPE-PME doivent désigner un responsable des traitements des données à caractère personnel.
D’après la CNIL, pour une société, le responsable du traitement est d’une manière générale la personne morale incarnée par un représentant légal.
La loi indique que le responsable du traitement des données à caractère personnel est « la personne physique ou morale, le service ou un autre organisme qui seul ou conjointement avec d’autres, détermine les faits, les finalités et les moyens du traitement.
Toutefois, c’est à l’entreprise et à ses représentants qu’incombe l’obligation légale de respecter, et de faire respecter, les obligations imposées par le RGPD.
D’après les textes légaux, c’est à ce responsable qu’il appartient de mettre en œuvre toutes les mesures appropriées pour démontrer que le ou les traitements dont il a la responsabilité sont effectués en conformité avec le RGPD. À ce titre, il doit réaliser et tenir un registre des traitements des données qui permettront de prouver que l’entreprise respecte bien le RGPD.
L’entreprise peut également décider de désigner un Délégué à la Protection des Données (DPO), qui pourra assister le responsable du traitement. Cette désignation n’est pas obligatoire dans toutes les entreprises mais peut s’avérer opportune pour les PME-TPE gérant un fichier important de données personnelles. Vous pouvez vous renseigner si la désignation d’un DPO est obligatoire dans votre cas sur le site de la CNIL.
Pour mettre en place ce registre, il convient de passer en revue les différentes activités d’une entreprise qui nécessitent la collecte et le traitement de données, et d’établir une fiche par activité dénommé registre de traitement des données.
Les représentants d’Unitae RGPD peuvent vous conseiller ou vous assister dans la mise en oeuvre et le suivi des procédures de contrôle de la conformité de vos pratiques RGPD.
LA RESPONSABILITÉ DES ENTREPRISES DANS LE TRAITEMENT DES FICHIERS :
L’article 30 du règlement impose l’obligation pour les responsables du traitement et les sous-traitants de tenir un registre des activités de traitement effectuées sous leur responsabilité afin de démontrer qu’ils ont mis en oeuvre toutes les mesures appropriées de protection des données personnelles.
Ce registre des traitements doit obligatoirement être écrit et doit pouvoir être mis à la disposition des contrôleurs de la CNIL.
En effet, Ces derniers peuvent intervenir dans votre entreprise à tout moment pour procéder à des vérifications de la conformité des traitements de données personnelles.
L’obligation de tenir à jour et de manière conforme un registre de cette nature est obligatoire pour tous les organismes et notamment pour les TPE-PME quelle que soit leur qualité, leur taille et la nature de leur activité.
Chaque registre de traitement doit comporter un certain nombre d’informations, parmi lesquelles :
- L’identité et les coordonnées du responsable du traitement,
- La finalité du traitement,
- Les catégories de données utilisées,
- Les personnes internes et externes au PME-TPE ayant accès aux données
- La durée de conservation des données, etc.
Si la collecte des données est faite auprès d’un tiers et non pas de l’intéressé, le responsable du traitement dispose d’un délai d’1 mois pour fournir les informations au salarié (Article 14 du règlement).
L’OBLIGATION DE TENIR DES REGISTRES DE TRAITEMENT DES DONNÉES :
La mise en place de ces registres doit être l’occasion de s’assurer que les données collectées sont bien utiles au PME-TPE, qu’elles ne sont pas conservées au-delà de ce qui est nécessaire et que seules les personnes habilitées ont accès aux données dont l’entreprise a besoin.
Ces registres sont aussi l’occasion pour l’entreprise de se poser une question, celle de savoir si les données collectées sont bien pertinentes et limitées à ce qui est nécessaire. Par exemple, il est inutile de demander des informations sur la situation de famille de vos clients si l’activité de l’entreprise ne le justifie pas. C’est ce qu’on appelle le principe de minimisation qui constituent un des éléments soulevés par la CNIL lors d’un contrôle.
L’entreprise doit prendre toutes les mesures nécessaires pour garantir la sécurité des données. Par exemple :
- Mise à jour des logiciels et de l’antivirus,
- Changement régulier des mots de passe,
- Création de différents profils utilisateurs,
- Sécurisation du local du PME-TPE,
- Insertion d’une clause de confidentialité dans le contrat de travail du salarié de l’entreprise,
- Vérification des contrats conclus avec les prestataires utilisant les données personnelles,
- etc.
De plus, les entreprises doivent vérifier que les sous-traitant sont eux aussi conforment à la RGPD, tels que :
- Les prestataires de service informatique (hébergement ou maintenance),
- Les intégrateurs de logiciels,
- Les sociétés de sécurité informatique ;
- Les agences de communication marketing qui traitent les données personnelles pour le compte de l’entreprise protègent correctement les données personnelles qu’ils reçoivent de l’entreprise car, en cas de fuite de données, l’entreprise et le sous-traitant pourraient être conjointement responsables.
Il est aussi nécessaire de modifier le contrat ou encore certaines clauses pour assurer la bonne conformité de votre entreprise.
En effet, le fait de sous-traiter n’exonère pas les entreprises de leurs obligations de respecter le RGPD.
L’INFORMATION DES PERSONNES DONT LES DONNÉES SONT COLLECTÉES :
Le Règlement prévoit également que, chaque personne qui fait l’objet d’une collecte de données personnelles la concernant, doit être informée de son droit :
- D’obtenir gratuitement une copie des données les concernant (Article 15 du règlement) ;
- De faire rectifier les données qui se révèleraient inexactes ou de les compléter (Article 16 du règlement) ;
- De son droit à l’effacement (droit à l’oubli), sous conditions, notamment lorsque ses données ne sont plus nécessaires, que l’intéressé s’oppose au traitement ou encore lorsqu’il retire son contentement (Article 16 du règlement) ;
- De s’opposer à tout moment, pour des raisons tenant à sa situation particulière, au traitement des données, sauf motif légitime du responsable du traitement.
Ainsi, pour pouvoir collecter et utiliser des données à caractère personnel, l’entreprise a besoin du consentement, c’est-à-dire de l’accord, despersonnes dont les données sont collectées par l’entreprise.
Ce consentement doit être obtenu préalablement à la mise en place du traitement des données et peut être recueilli de différentes manières (document écrit signé par le client formulaire à remplir, case à cocher sur le site de la PME-TPE, etc.).
L’entreprise doit fournir aux personnes dont les données sont collectées un certain nombre d’informations relatives au traitement des données parmi lesquelles :
- L’identité et les coordonnées du responsable du traitement,
- La finalité du traitement, c’est-à-dire ce à quoi il va servir,
- La durée de conservation des données,
- Les personnes ayant accès aux données…
Les clients doivent également être informés de leur droit à accès, à rectification, à effacement, etc.
Pour cela, on peut utiliser un formulaire de contact spécifique, un numéro de téléphone ou une adresse de messagerie dédiée pour permettre l’exercice de ces droits.
La responsabilité de l’entreprise peut être engagée en cas de problème avec les données transmises (fuites des informations personnelles des salariés par exemple.)
Désormais avec les nouvelles obligations RGPD, c’est l’entreprise qui est responsable du traitement et de la conservation des données qui lui sont transmises. Cette dernière pourra faire l’objet de sanctions administratives, civiles et pénales en cas de préjudice. L’engagement de responsabilité des entreprises, pour infractions aux normes RGPD, et dans ce cadre les sanctions encourues pour manquement aux obligations de la règlementation RGPD sont particulièrement lourdes.
En fonction de la nature des infractions à la législation RGPD, les responsables du traitement des données personnelles d’un organisme s’exposent à des sanctions pécuniaires pouvant s’élever jusqu’à 20 millions d’euros ou dans le cas d’une entreprise jusqu’à 4 % du chiffre d’affaires annuel.
L’infraction aux normes RGPD, est le plus souvent généré par l’impossibilité pour l’organisme contrôlé de démontrer qu’il a bien respecter les exigences techniques et réglementaires en matière de protection des données.
La règlementation sur la protection des données personnelles impose l’obligation de mettre en œuvre de manière permanente, des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données.
La loi impose ainsi de manière draconienne aux entreprises, l’obligation de tout mettre en œuvre sur le plan technique
organisationnel et juridique pour s’assurer que le traitement des données sont réalisés conformément aux normes réglementaires applicables en matière de RGPD.
Dans ce cadre les équipes d’Unitae peuvent vous assister dans la conception et la réalisation des documents et procédures nécessaire à l’anticipation sereine des contrôles de la CNIL.
Et si besoin mettre votre entreprise, en relation avec notre cabinet d’avocats partenaire afin de vous aider dans le cadre de ces procédures toujours complexes.