TPE-PME et RGPD : 6 points clés pour réussir votre mise en conformité

RGPD 6 points clés pour réussir votre mise en conformité

Le Règlement Général sur la Protection des Données personnelles (RGPD) renforce le droit des personnes et harmonise la protection des données personnelles au sein de l’Union Européenne. Chaque entreprise est concernée et tenue de se mettre en conformité avec cette règlementation, y compris les petites et moyennes entreprises.

Ce dossier de Maître Florence Ivanier a également été publié sur Village de la Justice


Vous trouverez ci-après le guide pour vous permettre de saisir en six points clés en quoi votre entreprise est concernée et vous guider dans cette démarche de mise en conformité.

1. Le RGPD, votre entreprise est-elle concernée ?

Est soumis au RGPD tout organisme (société, association), quelle que soit sa taille ou le nombre de ses salariés, dès lors qu’il met en œuvre des traitements de données personnelles, qu’il agisse pour son propre compte, en qualité de Responsable de Traitement ou pour le compte et sur les instructions d’une autre entité, en qualité de Sous-Traitant.

Le champ d’application territorial du RGPD est extrêmement large. En effet, le RGPD s’applique :

  • aux organismes disposant d’un établissement situé sur le territoire de l’Union Européenne ;
  • aux organismes non établis dans l’UE, dès lors qu’ils ciblent dans leur activité des résidents européens.

En pratique : il y a toutes les chances pour que votre entreprise soit concernée par le RGPD.

2. Le RGPD, la partie émergée de l’iceberg.

La plupart des obligations en matière de données personnelles reprises par le RGPD sont déjà en vigueur depuis la loi Informatique et Libertés du 6 janvier 1978. Or de nombreuses entreprises ne se sont pas mises en conformité avec cette règlementation.

Si la CNIL s’est montrée rassurante en affirmant qu’elle se montrera pragmatique et adoptera une posture d’accompagnement pour les nouvelles dispositions, l’ensemble des praticiens anticipe sur les obligations préexistantes une approche rigoureuse de l’autorité de contrôle.

En pratique : attelez dès vous à présent au chantier que représente la mise en conformité à la législation applicable, en gardant à l’esprit que, s’agissant des obligations nouvelles posées par le RGPD, le tout est d’avoir mis en œuvre une démarche en ce sens et d’être en mesure d’en justifier.

3. Le RGPD, une gestion de risque.

Les risques encourus sont désormais accrus : le RGPD a largement alourdi les amendes administratives qui peuvent être imposées par les autorités de contrôles.

  • risque financier : certaines infractions peuvent faire l’objet d’amendes s’élevant jusqu’à 4 % du chiffre d’affaires de l’entreprise ou 20 millions d’Euros ;
  • risque d’exploitation et commercial : du fait de sanctions administratives du type interdiction de traitement de données personnelles, qui peuvent revenir à suspendre l’activité de l’entreprise ;
  • risque d’image pour l’entreprise : du fait du contexte largement médiatisé que prend aujourd’hui toute sanction ;
  • risque de sanctions pénales.

En pratique : Le suivi régulier de personnes à grande échelle ou encore la collecte régulière de données dites « sensibles » doit vous alerter sur les risques encourus et vous amener à initier dès à présent un chantier de mise en conformité au RGPD.

Les données sensibles incluent toutes les données permettant directement ou non de recueillir des informations sur l’origine raciale ou ethnique, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale, la santé ou la vie sexuelle d’une personne.

4. Décoder le principe d’accountability.

Le règlement met en place une logique « d’accountability », i.e. de responsabilisation des acteurs économiques. Qu’elle intervienne en qualité de Responsable de Traitement ou de Sous-Traitant, chaque entreprise doit désormais prouver qu’elle se conforme bien à ses obligations en matière de protection des données personnelles.

L’accountability se décline en un certain nombre de nouvelles obligations :

  • la tenue d’un registre des traitements qui met fin au régime de la déclaration préalable auprès de la CNIL. Le registre des traitements doit être tenu à la disposition de la CNIL à tout moment ;
  • la désignation d’un Délégué à la Protection des Données (DPO) ;
  • la nécessité de mener dans certains cas une Étude d’Impact sur la Vie Privée (EIVP).

En pratique : pour dresser le registre des traitements de votre entreprise, il convient au préalable d’établir une cartographie des traitements de données personnelles mis en œuvre. Figureront au registre pour chaque type de traitement :
– les finalités du traitement ;
– les catégories de personnes visées ;
– la nature des données traitées, en identifiant le cas échéant les données sensibles ;
– les destinataires auxquels ces données sont transmises.

5. Mon entreprise est-elle tenue de designer un délégué à la protection des données ?

La nécessité de désigner un DPO est incontournable lorsque les sociétés (Responsable de Traitement ou Sous-Traitants) sont amenées, par leurs activités de base :

  • à réaliser un suivi régulier et systématique des personnes à grande échelle, ou
  • à traiter (toujours à grande échelle) des données sensibles ou des données relatives à des condamnations pénales et à des infractions.

Le RGPD ne définit pas la notion de traitement à grande échelle mais le G29 (Groupe des autorités de protection européenne) en donne une interprétation très large.

En pratique : votre entreprise est tenue de désigner un DPO si :
– elle collecte de manière habituelle un grand nombre de données personnelles et/ ou
– elle collecte des données sensibles ou emploie un certain nombre de salariés (ce qui l’amène nécessairement à collecter des données de santé pour se conformer aux obligations en matière de médecine du travail).

6. Qu’est-ce qu’une violation de données personnelles et que faire si une telle violation survient au sein de mon entreprise ?

Toute destruction, perte, divulgation ou accès non autorisé à des données qui est susceptible d’engendrer un risque pour les personnes, doit faire l’objet d’une notification auprès de la CNIL et ce, dans un délai restreint.
Ce type d’incident, encore nommé « fuite de données » doit être évité à tout prix en mettant en œuvre au sein de l’entreprise un ensemble de bonnes pratiques visant à sécuriser la conservation des données.
En cas de fuite de données, le Responsable de Traitement doit notifier l’incident à la CNIL dans les 72 h après la prise de connaissance de l’évènement. Dans certains cas, l’entreprise doit également communiquer auprès de chaque individu concerné.

En pratique : Il convient d’anticiper et de formaliser un process qui permettra de répondre efficacement et dans les délais à cette obligation de notification.

Florence Ivanier Avocat Associée Cabinet Aurele IT