RGPD : 10 clefs pour les entrepreneurs et TPE-PME

A l’ère du numérique, presque toutes les entreprises recueillent ou traitent des données à caractère personnel. Le RGPD, ou Règlement Général sur la Protection des Données, qui entre en vigueur le 25 mai prochain, pose un nouveau cadre juridique à ces pratiques. Avec, en cas de manquement, de très sévères sanctions. Retour sur les 10 points essentiels que tout entrepreneur devra garder à l’esprit pour éviter les mauvaises surprises.

C’est un fait, la data est le nouvel or noir du XXIeme siècle. Et, comme le pétrole, elle est une matière hautement inflammable. Voire explosive en ce qui concerne les données personnelles ! Les dernières mésaventures de Facebook le montrent, même les plus grandes entreprises ne sont pas à l’abri d’une faille dans le traitement et la sécurisation de leurs données. En posant des règles strictes et en exigeant des entreprises une totale conformité aux règles en vigueur, le RGPD (ou GDPR en anglais), nouvelle règlementation européenne en la matière, créé un cadre propice à restaurer un climat de confiance.

1/ Qu’est-ce qu’une donnée personnelle ?

Une donnée personnelle est une information relative à une personne physique identifiée, directement ou indirectement. Cela peut être le nom, une adresse IP, un numéro de téléphone, une photographie, un identifiant de connexion, un numéro de sécurité sociale, une adresse mail ou postale, un enregistrement vocal, etc. Au sein de l’entreprise, ces informations peuvent concerner les consommateurs, les fournisseurs mais aussi les salariés et managers de l’entreprise comme les candidats proposant leurs services.

A l’intérieur de cette vaste catégorie, certaines données personnelles sont de plus considérées comme sensibles. Ce sont toutes les informations pouvant éventuellement conduire à des discriminations : croyance religieuse, opinion politique, engagement syndical, appartenance ethnique, orientation sexuelle, données médicales… Dès lors qu’une entreprise collecte et utilise de telles données, elle doit respecter les principes de protection renforcée posés par le RGPD.

2/ Quelles entreprises sont-elles concernées par le RGPD 

Toutes les entreprises traitant des données personnelles appartenant à des citoyens européens seront soumises au RGPD. Et ce sans condition de taille ou de secteur d’activité. Autrement dit, dès lors qu’une entreprise récupère, par exemple des CVs de candidats ou des adresses emails de clients, elle est concernée. De la start-up au grand groupe en passant par la PME traditionnelle, la quasi-intégralité des entreprises françaises et européennes sont concernées.

A noter, avec le RGPD ce n’est plus la nationalité de l’entreprise qui compte mais celle du citoyen concerné. Il s’applique donc également aux entreprises extra-européennes qui recueillent ou traitent des données personnelles concernant des européens. Le législateur vise ici très clairement les GAFAM et les géants du e-commerce, Google, Amazon, Facebook et consorts. Ces groupes, avides de données personnelles, devront désormais respecter le cadre juridique européen pour continuer à exercer leurs activités au sein de l’Union européenne.

Avec l’ambition d’avoir l’application la plus large possible, le RGPD innove aussi en étendant son application aux sous-traitants. Tous les sous-traitants réalisant des traitements d’informations à caractère personnel pour le compte d’une autre entreprise devront donc avoir des pratiques conformes au RGPD. Ils devront également informer le délégataire responsable du traitement de toute délégation qu’il effectuerait à son tour.

3/ Le RGPD s’applique-t-il de façon uniforme aux grands groupes et aux PME ?

Le RGPD s’applique donc à toutes les entreprises. Le principe est le même quelle que soit la taille de la structure : l’entreprise doit être en mesure à tout moment, de démontrer que toutes les mesures techniques et organisationnelles exigées ont été mises en œuvre dans le traitement des données personnelles. Et ce principe d’accountability (responsabilité) est un changement complet de paradigme. Jusqu’à présent, selon la loi Informatique et libertés qui posait le régime juridique des données personnelles, les entreprises devaient effectuer des démarches administratives actives, via des déclarations CNIL ou demandes d’autorisation. Cette obligation administrative est désormais levée. Mais en contrepartie, il est exigé des organisations de faire en sorte d’avoir des process respectant la réglementation.

Si le règlement s’impose à tous de façon uniforme, les PME de moins de 250 salariés restent toutefois dispensées de certaines obligations. Notamment, celle de tenir un registre répertoriant tous les traitements de données personnelles qu’elles effectuent. Cependant, une entreprise de moins de 250 salariés reste soumise à cette obligation dans certaines situations particulières : si elle effectue des traitements de données personnelles de façon non occasionnelle, si le traitement porte sur des données sensibles ou sur des données judiciaires ou si le traitement comporte un risque.

De façon générale, il est certain que ce chantier de mise en conformité peut être plus délicat à conduire pour les TPE-PME que pour les grands groupes, mieux équipés pour ce type de projet. C’est pour cette raison que la CNIL sortira courant avril un guide qui leur sera destiné afin de les aider. Par ailleurs, un grand nombre d’entre elles n’hésitent pas à se faire accompagner par des consultants extérieurs spécialisés afin de gagner du temps et d’être plus efficaces dans leurs démarches.

4/ Que risque une entreprise qui ne respecterait par le RGPD ?  

Le RGPD prévoit qu’en cas de manquement à ses dispositions, l’autorité de contrôle, comme la CNIL en France, pourra condamner les entreprises à de très lourdes sanctions. En jeu, des amendes pouvant aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial pour leurs manquements. Bien loin, donc, du plafond de 150 000 euros jusqu’alors en vigueur ! Des mesures très dissuasives qui visent en particulier les grandes entreprises, mais ne devrait pas épargner les petites pour autant. La CNIL devrait en particulier cibler les cas de manquements graves et répétés.

Outre les sanctions, un autre élément ne doit pas être négligé : celui des dommages portés à la réputation et à l’image de l’entreprise. Les citoyens sont encore très attachés à leurs données personnelles et au respect de leur vie privée. Les cas de manquements qui viendraient être rendus publics pourraient donc avoir pour conséquence une perte de confiance de la part des clients de l’entreprise, et ce quelque que soit sa taille, et impacter négativement son activité.

Il y a donc urgence à s’organiser pour être en conformité dès le 25 mai 2018. Cependant, compte tenu de la difficulté de l’opération, en particulier pour les plus petites entreprises, la CNIL a d’ores et déjà fait savoir qu’elle serait compréhensive pendant les premiers mois d’application du RGPD. En cas de contrôle, elle sera sensible à la bonne foi des entreprises qui auront entamé des démarches en ce sens, même si toutes n’ont pas abouties dans les temps.

5/ Qu’est-ce qu’un DPO et quel est son rôle ?

 Autre mesure phare du RGPD, la création du DPO, le Délégué à la Protection des Données. Successeur des CIL (Correspondant Informatique et Liberté), le DPO est la personne en charge de garantir la conformité l’ensemble des traitements de données à caractère personnel au sein des entreprises. Sa nomination n’est pas obligatoire. Elle est cependant requise dans trois situations : au sein des autorités et organismes publics, au sein des organisations dont l’activité principale consiste à suivre à grande échelle, de façon régulière et systématique, le comportement des personnes, au sein des structures dont l’activité consiste à traiter à grande échelle de données sensibles ou de données relatives à des condamnations pénales. La notion de « à grande échelle » demande encore à être précisée, mais elle semble viser les entreprises ayant une activité principalement digitale, en particulier les acteurs du e-commerce. En dehors de ces cas obligatoires, il reste bien sur tout à fait possible de désigner un DPO de façon volontaire.

Le délégué à la protection des données pourra être une personne interne ou externe à l’entreprise. Pour les TPE et PME cela laisse la possibilité très intéressante d’externaliser cette fonction et de déléguer ces missions à un expert, à l’instar d’un expert-comptable par exemple. Autre cas de figure, la possibilité de mutualiser la fonction au sein de groupes d’entreprises. Un seul DPO pourra ainsi s’occuper de la politique données au sein de toutes les sociétés d’un groupe. Avec la possibilité d’avoir une stratégie cohérente et commune en la matière.

Garant des droits et libertés fondamentales des personnes dont les données sont collectées, le délégué à la protection occupe une place particulière au sein de l’entreprise. Pas question donc de s’improviser DPO ou, pour l’entreprise, de désigner une personne sans compétences particulières. Le RGPD exige en effet que le DPO combine qualités professionnelles et connaissances spécialisées de la protection des données. De même, le DPO doit avoir une position privilégiée au sein de l’organisation. Il doit être indépendant vis-à-vis de l’entreprise qu’il supervise. Il doit aussi avoir une position au sein de l’organigramme lui permettant de faire remonter les informations de façon efficace.

6/ Quelles sont les étapes clefs pour se mettre en conformité ?

DPO ou non, le chemin pour se mettre en conformité est un parcours long et semé d’embuches. A chaque entreprise donc d’entamer la démarche rapidement. Mais par où commencer ?

Première étape, savoir où sont les données personnelles dans l’entreprise. Jusqu’à présent, chaque métier procédait parfois à des collectes de données sans que l’information soit centralisée ou partagée. La mise en conformité exige que l’entreprise fasse un audit du sujet. Quelles sont les données collectées ? Comment sont-elles stockées ? Combien de temps sont-elles conservées ? Quelles personnes au sein de la société y ont-elles accès ? Quelle utilisation en est-elle faite ? Se poser ces questions permettra ainsi de dessiner une cartographie précise des traitements des données personnelles au sein d’une structure.

Deuxième étape, procéder à un audit des mesures mises en place autour de ces traitements. Quelles sont les mesures juridiques accompagnant ces traitements ? Comment est recueilli le consentement des personnes ? Qu’est-il prévu à ce sujet dans les contrats de l’entreprise avec ses clients et partenaires ? Quelles sont les ressources technologiques déployées pour analyser ces données et en garantir la sécurité ?

Une fois cet état des lieux dressé, il sera possible d’identifier les écarts entre les exigences du RGPD et les pratiques de l’entreprise (GAP analysis). Puis, une étude de risque devra être faite pour étudier les mesures prioritaires à mettre en place. Les données sensibles par exemple, devront faire l’objet d’une attention urgente de la part des entreprises.

Enfin, il faudra définir et déployer un plan d’action précis répertoriant toutes les actions à mener au sein de l’entreprise. Par exemple : mise à jour juridique et contractuelles (mentions légales, conditions générales de vente, contrats de sous traitances…), réorganisation interne (nomination d’un DPO, tenue d’un registre si nécessaire, formation des équipes métiers…), optimisation technologique (sécurisation du réseau informatique, cryptographie, anonymisation de certaines données…), obtention du consentement des utilisateurs…

7/ Quels sont les droits des personnes vis-à-vis de leurs données ?

Un des objectifs du RGPD est de permettre aux personnes physiques de reprendre le contrôle sur leurs données personnelles. Plusieurs mesures sont ainsi prévues allant en ce sens. Pierre angulaire du dispositif : le consentement. Après l’entrée en vigueur du RGPD, les entreprises auront l’obligation de recueillir un consentement clair de l’utilisateur pour le recueil et le traitement de ses données personnelles. La demande devra être formulée en termes simples et non équivoques et l’acceptation devra résulter d’un acte positif. Ce consentement sera par ailleurs considéré de façon restrictive. Il n’est donné que pour un usage précis et pour une durée limitée. Dès la finalité du traitement réalisée, l’entreprise collecteur devra effacer de façon définitives les données recueillies.

Dans la même logique, le RGPD impose aux entreprises de concevoir des produits et services intégrant la protection de la vie privée dès l’origine (privacy by design) et par défaut (privacy by default). Qu’est-ce que cela signifie-t-il ? Que les entreprises devront dès la conception penser leurs dispositifs en mettant tout en œuvre pour respecter de la vie privée et les données personnelles des consommateurs. Toute nouvelle technologie aura donc pour obligation de garantir à chacun le plus haut niveau de protection possible. Faute de quoi le concepteur du service s’exposera aux sanctions évoquées plus haut.

Enfin, le RGPD prévoit tout un ensemble de nouveaux droits directement actionnables par les utilisateurs auprès des entreprises. Objectif : assurer un maximum de transparence t de contrôle sur les données personnelles. Toute personne aura ainsi un droit d’accès permanent à ses données et pourra demander à l’entreprise de lui fournir l’ensemble des données à sa disposition dans un délai d’un mois maximum. Par ailleurs, le citoyen pourra demander à rectifier ses données dans les meilleurs délais (droit de rectification) ou à les effacer (droit à l’effacement) si elle souhaite retirer son consentement à l’utilisation de ses données. Si le responsable du traitement a partagé ces données avec des sous-traitants notamment, il devra alors leur demander de procéder également à cet effacement. Autre droit créé par le RGPD : le droit à la portabilité. L’utilisateur a en effet la possibilité de demander à recevoir ses données dans un format structuré et interopérable afin de les transmettre à un nouvel opérateur de son choix qui sera par la suite autorisé à opérer des traitements sur ces données.

8/ Que faire en cas de vol ou de fuite de données ?

Les données sont devenues une cible de choix pour les cybercriminels mais aussi pour des entreprises mal intentionnées cherchant à accroître leur influence. Les données à caractère personnel sensibles donnent en effet des renseignements cruciaux sur l’identité des personnes, leurs préférences et leurs convictions. Elles peuvent ainsi permettre de mettre en place des actions ultra ciblées auprès de ces publics. Autant de raison, donc, de chercher à acquérir cette manne, même de façon illégale.

Pour éviter les conséquences négatives des vols ou fuites de données personnelles, le RGPD prévoit que le responsable des traitements aura l’obligation de notifier son autorité de contrôle dans les meilleurs délais et 72H au plus tard après en avoir pris connaissance. La nature de la violation devra être précisée, le nombre de personnes concernées, les conséquences probables de la violation ainsi que les mesures prises ou proposées pour remédier à cette violation ou en atténuer les conséquences négatives. Le responsable des traitements aura par ailleurs le devoir d’informer les personnes concernées par la violation.

9/ Comment créer une culture de la protection des données en interne ?

Au-delà des obligations légales, le RGPD vise, à travers un cadre juridique contraignant, à créer et développer une solide culture de la protection des données au sein des entreprises. Il s’agit d’enclencher un changement de posture transverse. Toutes les fonctions doivent prendre conscience de l’importance de ces sujets et de l’intérêt à développer des pratiques et comportements vertueux. La DSI et la direction juridique ne doivent pas être les seuls à se sentir concernées. La direction générale, la DRH, la direction financière, la direction marketing et tous les métiers sont impactés et invités à repenser leur façon de gérer et protéger les données personnelles.

Pour les entreprises, le chantier de mise en conformité doit servir à soulever ces questions et à enclencher le processus. Processus qui pourra être complété par des actions de formation auprès des collaborateurs ou par l’intervention de consultants spécialisés dans la protection des données.

10/ Le RGPD est-il une contrainte ou une opportunité pour les entreprises françaises ?

 Le RGPD contraint ainsi les entreprises au respect de toute une série de nouvelles règles. Mais cette évolution était nécessaire afin d’adapter le droit aux dernières évolutions technologiques et des comportements. Mais le RGPD est aussi une occasion pour les entreprises de clarifier leurs pratiques en la matière en remettant tout à plat.

Le RGPD est donc une façon d’enclencher en Europe une logique vertueuse sur les données personnelles. Vis-à-vis des clients des entreprises, c’est un véritable avantage concurrentiel. Les données personnelles restent un sujet extrêmement sensible pour les personnes physiques. Elles seront donc rassurées de savoir avoir à faire à des acteurs européens respectueux de leur vie privée et de leurs données. La conformité au RGDP est donc synonyme de plus transparence et de confiance.

Enfin, pour les TPE PME partenaires de grands groupes, la mise en conformité va très vite devenir une nécessité vitale. En effet, le RGPD impose que toute la chaîne de sous-traitance respecte ses dispositions. Les grands groupes vont donc exiger de leurs fournisseurs qu’ils respectent le critère de conformité pour leur accorder des marchés. Il y aura donc un vrai bonus pour les organisations s’étant mise en ordre de marche dès le 25 mai 2018. Voici qui devrait achever de convaincre toutes les entreprises de l’urgence et du caractère indispensable de la mise en conformité !

LeadGen

Besoin de simplifier votre quotidien de dirigeant ?

Renseignez vos coordonnées pour qu’un conseiller American Express vous contacte gratuitement !

* Les champs marqués* sont obligatoires
Conformément à la loi «informatique et libertés» du 6 janvier 1978 modifiée, vous disposez d’un droit d’accès et de rectification aux informations vous concernant. Pour exercer ce droit, contactez : American Express Carte France, GCP, 4 rue Louis Blériot, 92561 RUEIL MALMAISON Cedex. Données collectées à des fins commerciales. 


Supplément partenaire réalisé et animé par American Express. La rédaction des Echos n'a pas participé à sa réalisation.

Inspirez-vous. Informez-vous


Ne manquez rien
de l'actualité business !

Recevez une fois par mois la newsletter InstinctBusiness.

Conformément à la loi «informatique et libertés» du 6 janvier 1978 modifiée, vous disposez d’un droit d’accès et de rectification aux informations vous concernant. Pour exercer ce droit, contactez : American Express Carte France, GCP, 4 rue Louis Blériot, 92561 RUEIL MALMAISON Cedex. Données collectées à des fins commerciales.