Le RGPD (Règlement général sur la protection des données) de l’Union européenne entrera en vigueur le 25 mai 2018. Il concerne toutes les organisations qui collectent ou qui détiennent des données personnelles sur des citoyens européens. Voici quel va être l’impact pratique pour les TPE/PME.
Le RGPD concerne-t-il ma TPE-PME ?
Ce règlement européen va remplacer la Directive européenne de 1995 qui n’est plus adaptée aux nouvelles technologies numériques et aux nouvelles habitudes engendrées par les réseaux sociaux et l’utilisation quotidienne d’internet. Le RGPD a vocation à protéger les individus dans un environnement de plus en plus axé sur les données, notamment pour encadrer l’usage que les GAFA (Google, Amazon, Facebook, Apple) et les grands acteurs d’internet font de nos datas.
Nos données personnelles, « l’or noir du XXIème siècle », sont l’objet de toutes les convoitises. En effet, elles permettent de nous connaître, plus exactement de connaître nos habitudes de consommation et nos désirs presque aussi bien que nous même et bientôt mieux ! En tout cas, c’est ce que promet l’intelligence artificielle. Les enjeux sont colossaux : à elles seules, les 4 GAFA « pèsent » plus lourd que le CAC40 complet, c’est à dire 80% de la puissance industrielle française, et connaître précisément les besoins de chacun d’entre nous leur procure un avantage concurrentiel énorme.
Le règlement RGPD (on parle aussi de GDPR en anglais : General Data Protection Regulation) imposera de nouvelles obligations en matière de traitement des données personnelles, de sécurité des informations et de transparence entre les entreprises et les personnes concernées. Finie la simple déclaration auprès de la CNIL, les entreprises doivent désormais se conformer au règlement RGPD qui prévoit des sanctions allant jusqu’à 4% du chiffre d’affaires. Et cela concerne toutes les entreprises ayant des activités impliquant toutes opérations sur les données à caractère personnel des citoyens européens. Autant dire toutes les sociétés, y compris les sociétés hors Union Européenne.
Comment se préparer au RGPD ?
Pour se préparer à ce nouveau règlement, il faut faire table rase du passé et suivre une méthodologie bien balisée. Cette méthodologie est décrite en détail sur le site de la CNIL :
-
Désigner un pilote, un DPO
(DPO = Data Protection Officier – Délégué à la protection des données)
Dans une TPE, c’est facile : c’est le dirigeant. Dans une structure plus grosse, s’il y avait déjà un correspondant CNIL, c’est un rôle qui lui incombera tout naturellement. Sinon, c’est souvent le responsable informatique, technique ou qualité qui s’y colle.
-
Cartographier les traitements de données faits par l’entreprise
On entre dans le vif du sujet : établir la liste précise de tous les traitements de données personnelles faits dans l’entreprise, les catégories de données traitées et les objectifs du traitement réalisé. Ce recensement est la partie fastidieuse de la préparation, mais de sa qualité découlera la facilité de mise en conformité ultérieure. Si les fondations sont solides, la construction tiendra debout. Faites votre enquête dans tous les services et sur tous les aspects des différentes activités de l’entreprise, sans oublier que les données personnelles concernent d’abord les clients et les fournisseurs, mais aussi les employés…
La CNIL propose sur son site un exemple de fichier qui sera une bonne base pour cette action de collecte :
Lien du fichier : https://www.cnil.fr/sites/default/files/atoms/files/registre-traitement-simplifie.ods
-
Prioriser les actions à mener
Une fois ce recensement effectué, vous avez certainement constaté que tout n’était pas forcément parfait.
Nous allons passer ces données à travers des filtres et voir quelles seront les actions à faire pour vous mettre en conformité. Pour cela, posez-vous ces questions :
- Les données collectées sont-elles nécessaires ? Par exemple, si vous demandez le numéro de téléphone pour l’inscription à une newsletter et que vous n’en faites rien, supprimez-le !
- Le traitement a une base juridique (contrat, consentement avéré de la personne, …)
- Les mentions obligatoires (par exemple sur un site, le petit bandeau sur lequel il faut cliquer pour accepter les cookies) sont conformes au nouveau règlement.
- Les modalités de droits des personnes (accès, rectification, résiliation, droit à l’oubli, …) sont clairement mentionnés et utilisables.
- Vous traitez des données sensibles ou hautement personnelles (politiques, religieuses, génétiques, médicales, pénales, …)
- Vous transférez des datas hors de l’Union Européenne. (Jamais ? en êtes-vous si sûr ?)
Le cas des sous-traitants : Vous devez vous assurer que vos sous-traitants sont conformes au RGPD.
C’est probablement l’aspect le plus délicat et compliqué à gérer. Le sous-traitant doit avoir la même démarche concernant vos données que celle que nous décrivons ici et vous apporter les informations sur ses traitements et ceux de ses propres sous-traitants, afin de vous garantir son respect au RGPD. Cela pose les problèmes habituels du petit sous-traitant loin de ces préoccupations réglementaires, et du gros sous-traitant sur lequel vous n’avez aucun poids.
Un guide est édité par la CNIL pour aider les sous-traitants : https://www.cnil.fr/fr/reglement-europeen-sur-la-protection-des-donnees-un-guide-pour-accompagner-les-sous-traitants
-
Gérer les risques
Si les données personnelles que vous traitez sont susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes concernées, une analyse d’impact sur la protection des données (DPIA – Data Protection Impact Assessment – Analyse d’impact relative à la protection des données) doit être menée. Si vos traitements peuvent conduire à ce type de risques, il est conseillé de faire appel à un spécialiste pour mener à bien ce genre d’analyse.
-
Organiser les processus internes
La première chose à faire est de vérifier que les données sont en sécurité (chiffrement, pseudonymisation, limitation d’accès aux données, stockage limité aux données nécessaires et limité dans le temps.)
Nous en avons parlé dans cet article sur la sécurisation de l’informatique.
Il faut aussi organiser le traitement des demandes issues des personnes pour l’exercice de leurs droits (accès, rectification, retrait, portabilité, résiliation …)
Et jouer la transparence quand un problème survient : par exemple, vous avez 72 heures pour déclarer aux personnes concernées et aux autorités la perte, le vol ou autre violation des données personnelles. Cela suppose une organisation adaptée.
-
Documenter la conformité
Une fois tout cela mis en place, il faut constituer la documentation permettant de prouver votre conformité au RGPD. Elle comportera à minima :
- La charte des bonnes pratiques utilisées dans l’entreprise
- Le registre des traitements
- Les analyses de risque DPIA si nécessaire
- Les contrats avec les sous-traitants
- Les documents d’information des personnes et les procédures d’exercice des droits.
- Les preuves de consentement
- L’encadrement des exports de données hors UE.
Bien évidemment, le fonctionnement parfait de ce processus ne sera pas atteint immédiatement. C’est une méthode qui n’est pas figée dans le marbre et qui doit permettre une amélioration continue. La CNIL est consciente qu’il s’agit d’un effort important, notamment pour les petites structures et s’attachera au début à vérifier que l’esprit du règlement est respecté (protection des données, principe de loyauté, de transparence, de pertinence des traitements et de sécurité des données)
Et vous, où en êtes-vous de votre conformité au RGPD ? Avez-vous des questions à ce sujet ?