RGPD : Artisans, commerçants, entreprises unipersonnelles êtes-vous prêts ?
Le RGPD, le nouveau règlement sur la protection des données, est pleinement entré en vigueur le 25 mai 2018. Il vient remplacer la directive de 1995, clairement inadaptée à la réalité actuelle. Ce nouveau règlement vise à harmoniser les législations nationales en vigueur en matière de protection des données tout en renforçant les droits des citoyens européens sur leurs données. Il ne concerne pas seulement les grandes entreprises, les artisans y sont aussi soumis à partir du moment où ces derniers effectuent des traitements de données. DPMS vous informe sur les points essentiels à retenir dans le RGPD.
Les principaux objectifs du RGPD
Le RGPD vient remplacer la directive de 1995 et harmoniser les législations des pays membres en matière de protection des données. Il poursuit 3 principaux objectifs :
- Renforcer les droits des citoyens sur leurs données : droit à la portabilité, protection renforcée des mineurs ;
- Renforcer la responsabilité des responsables du traitement et des sous-traitants ;
- Harmoniser et coordonner les législations des États membres sur la protection des données.
Quelles sont les sanctions encourues en cas de non-conformité ?
Depuis le 25 mai 2018, tous les traitements de données ne respectant pas le RGPD peuvent entraîner des sanctions relativement importantes : 20 millions d’euros ou 4% du chiffre d’affaires annuel. Les entreprises qui ont leur siège social hors du territoire européen peuvent également être sanctionnées en cas de non-conformité. Dans le pire des cas, les sanctions financières peuvent être accompagnées de peine de prison.
Quid du rôle de la CNIL
Dans chaque pays membre de l’UE, une autorité est chargée de veiller à la bonne application du RGPD. Pour la France, c’est la Commission nationale de l’informatique et des libertés (CNIL). Les contrôles peuvent se faire en ligne ou sur audition et sur pièces. Les pouvoirs de la CNIL sont relativement étendus. C’est elle qui se charge de la vérification du respect des principes fondamentaux contenu dans le RGPD (transparence, limitation du traitement, durée de conservation, consentement…) et du choix des sanctions.
Les entreprises sont-elles prêtes ?
À l’heure où l’on parle, une bonne partie des entreprises françaises ne sont pas encore prêtes. D’après les chiffres, plus d’une entreprise sur 4 ignore encore le RGPD. C’est la raison pour laquelle la CNIL recommande aux entreprises de privilégier la mise en conformité avec les règles de fond du RGPD et si possible de réaliser une analyse d’impact (DPIA). Une DPIA va servir à cerner tous les écarts avec la nouvelle législation.
Il faut préciser qu’en cas de non-conformité, les entreprises ont un certain droit à l’erreur. C’est-à-dire que le prononcé d’une sanction n’est pas systématique. L’entreprise en faute fera l’objet d’avertissements puis de mise en demeure. Et si aucune mesure n’est prise pour se conformer à la loi, des sanctions financières seront prononcées. Notez également que la nature de l’infraction, le caractère délibéré et la récidive influeront sur la décision de la CNIL.
Notion de donnée personnelle
Les données personnelles constituent l’une des notions fondamentales du RGPD. Une donnée personnelle c’est : « toute information permettant de reconnaître ou d’identifier une personne, directement ou indirectement ». Sont donc considérées comme des données personnelles : les noms, les adresses postales, les photos, les données de géolocalisation, les mots de passe, les adresses IP…
Se conformer au RGPD : les 6 étapes clés
Dans le but d’aider les entreprises à se conformer au RGPD, la CNIL propose une démarche en 6 étapes :
- Désigner un DPO : cette obligation pèse surtout sur les grandes entreprises. Le DPO ou Délégué à la Protection des Données a pour rôle de veiller à la conformité de l’entreprise au RGPD. Les petites entreprises peuvent nommer un salarié ou un prestataire externe pour assurer la fonction de DPO, pour les entreprises unipersonnelles ce point n’est pas essentiel ;
- Cartographier tous les traitements de données personnelles : il faudra concevoir un registre des traitements contenant les informations suivantes (le type de traitement, la catégorie des données, les informations sur toutes les personnes en contact avec les données). En plus, à chaque donnée il est nécessaire d’indiquer les raisons de la collecte, le lieu de stockage et la durée de conservation (traitements clients par exemple) ;
- Identifier les actions à prioriser et les traitements à risque : une fois que l’on a établi le registre, il faudra passer à l’identification des écarts et déterminer les mesures à mettre en place pour se mettre en conformité ;
- Réaliser une analyse des risques : chacun des traitements à risque doit faire l’objet d’une analyse des risques. Il s’agit de mesurer les risques de fuite ;
- Réorganiser les processus internes : pour une meilleure sécurisation des données, il faut revoir en complet les processus internes (contrôle des accès, encodage des données…) ;
- Créer une documentation de conformité : en cas de contrôle de la CNIL, vous devrez fournir une documentation de conformité composée d’un registre des traitements, d’une DPIA, des informations liées aux personnes et des mesures à mettre en place en cas de transferts de données en dehors de l’UE.