Réussir la mise en conformité RGPD dans votre entreprise

Le RGPD, vous avez entendu parler de ce mot, vous connaissez sa signification…. mais vous n’avez pas encore pris le temps de vous mettre en conformité?

Pas de panique, il n’est jamais trop tard pour bien faire. Les TPE et PME disposent encore d’un délai de grâce… mais ne tardez pas!

Votre cabinet de comptabilité en ligne SBA Compta vous explique en quoi consiste ce règlement et surtout, comment réussir votre mise en conformité au RGPD.

RGPD – définition

Le règlement général sur la protection des données est mis en application depuis le 25 mai 2018 dans tous les États membres de l’UE. Il constitue le texte de référence en matière de protection des données à caractère personnel.

Ayant pour but la protection de la vie privée des utilisateurs d’internet, il est perçu comme un frein à l’innovation et la digitalisation pour certains professionnels dont le travail repose essentiellement sur le traitement de ce genre de données.

Qu’est ce qu’une donnée personnelle ?

Une donnée personnelle ou encore une donnée à caractère personnel est toute information susceptible d’identifier une personne physique d’une façon directe ou indirecte.

Une donnée à caractère personnel, cela peut être :

• nom
• photo
• empreinte
• adresse postale
• adresse mail
• numéro de téléphone
• numéro de sécurité sociale
• matricule interne
• adresse IP
• identifiant de connexion informatique
• enregistrement vocal…

Pourquoi mettre en place le RGPD ? 

Les évolutions technologiques récentes surtout l’avènement de la big data ont amené de nouveaux défis.

Chacun de nous utilise des ordinateurs ou des appareils mobiles pour se connecter sur les réseaux sociaux ou télécharger des applications, et le fait que les données personnelles soient exposées présente un risque d’atteinte à la vie privée.

Par exemple, certaines données à caractères personnelles sont sensibles, car elles touchent à des informations qui peuvent donner lieu à de la discrimination ou à des préjugés.

Elles ne peuvent être collectées que par consentement explicite de la CNIL (Commission nationale de l’informatique et des libertés), et dans des cas particuliers qui concernent généralement l’intérêt public.

En 1978, la loi française “ informatique et libertés ” a été instaurée pour faire face à ce risque. On peut considérer que le RGPD est la continuité de cette loi, avec la prise en charge des enjeux actuels tels que les médias sociaux et les applications mobiles.

Le Parlement européen a adopté le RGPD, remplaçant ainsi les lois nationales de protection de données et la directive 94/96/CE.

Le RGPD contient entre autres des dispositions qui obligent les entreprises à protéger les données personnelles des citoyens européens pour toutes les transactions effectuées dans les États membres de l’Union.

Le RGPD réglemente également l’exportation de données personnelles en dehors de l’Union Européenne.

Vous pouvez consulter le règlement complet en version pdf depuis ce lien.

Qui doit se mettre en conformité au RGPD? 

La mise en conformité au RGPD concerne tous les organismes publics ou associatifs se trouvant en Europe ou en dehors du vieux continent et qui offrent des services ou prestations impliquant le traitement de données à caractère personnel de résidents européens.

Sont également concernés par ce règlement :

• Les prestataires de services informatiques tels que l’hébergement des sites webs, l’emailing, la maintenance.
• Les développeurs et intégrateurs de logiciels et solutions informatisées.
• Les boîtes de communication et les agences spécialisées dans le digital marketing et qui ont l’habitude de traiter des données personnelles pour leurs comptes ou ceux de leurs clients.
• Tous les sous-traitants dans ces domaines, même s’ils se trouvent en dehors des États membres de l’UE.

Quand est-ce que la mise en conformité au RGPD sera- elle appliquée?

La mise en conformité au RGPD est entrée en vigueur le 25 Mai 2018, mais selon Jean Lessi du CNIL : « Le 25 mai 2018 n’est pas une date couperet ».

C’est une étape où les entreprises doivent montrer des signes d’avancement dans la mise en conformité au RGPD.

Quelles sanctions sont appliquées si votre entreprise n’est pas conforme au RGPD ?

En cas de non conformité au RGPD, vous risquez de subir des sanctions administratives qui peuvent atteindre, selon la catégorie de l’infraction, jusqu’à 10 ou 20 millions d’euros, ou dans le cas d’une entreprise, jusqu’à 2% ou 4% du chiffre d’affaires annuel.

Les étapes de la mise en conformité RGPD (procédure)

Désormais, la CNIL a commencé à distribuer des amendes aux grandes entreprises. Les PME suivront bientôt, alors ne tardez pas!

Voici les étapes à faire pour se préparer à la mise en conformité au RGPD :

1. Nommer un DPO (Délégué à la Protection des Données)

La plupart des organismes publics ou privés qui sont concernés par le RGPD doivent désigner un délégué à la protection des données.

Les DPO seront chargés de:

• Veiller à ce que la loi soit respectée
• Former le personnel dans la conformité au règlement
• Réaliser des audits internes

Ils doivent avoir les ressources nécessaires pour faire leur travail ainsi que les accès aux données. Il ne faut en aucun cas entraver leur travail.

2. Recenser les traitements de données personnelles

Tous les organismes qui traitent des données personnelles dans le cadre de leurs activités doivent tenir un registre des traitements.

Pouvant être consulté à n’importe quel moment par la CNIL, votre registre doit comporter :

• Le nom ainsi que les coordonnées de celui qui traite les données,
• Le type de destinataire auquel les données ont été ou seront envoyées,
• Le but de cette collecte de données.

La CNIL recommande de tenir un registre pour chaque activité nécessitant le traitement de données personnelles, alors n’oubliez pas de prendre ce point en considération si vous avez plusieurs activités de ce genre.

Pensez également qu’un traitement de données personnelles n’est pas nécessairement informatisé : les fichiers papiers sont également concernés et doivent être protégés dans les mêmes conditions.

3. Trier les données et identifier le périmètre des données sensibles

Vous devez trier vos données selon leur degré de nécessité par votre activité, et procéder au cryptage des données les plus sensibles.

Sont considérées comme données sensibles :

• Les données révélant l’origine prétendument raciale ou ethnique
• Les opinions politiques
• Les convictions religieuses ou philosophiques
• L’appartenance syndicale des personnes
• Des données génétiques et biométriques
• Des données concernant la santé
• Des données concernant la sexualité des personnes
• Des données relatives aux condamnations pénales ou aux infractions
• Le numéro d’identification national unique (NIR ou numéro de sécurité sociale)

4. Faire un emailing de consentement

Dorénavant, si les entreprises veulent récolter des données personnelles, elles doivent avoir au préalable un consentement écrit, clair et explicite de l’internaute. Elles doivent également s’assurer que les enfants en dessous d’un certain âge aient bien reçu le consentement de leurs parents ou d’un tuteur légal.

Créez un mail expliquant les conditions d’utilisation de vos services et demandant le consentement de vos utilisateurs.

Même si ce n’est pas suffisant à moyen terme, c’est déjà le premier pas pour vous assurer d’être en règle avec la loi et de votre mise en conformité au RGPD.

Vérifiez que vos utilisateurs vous fournissent un consentement écrit, clair et explicite de l’internaute.

Par où commencer pour obtenir le consentement de ses contacts ?

4.1 Commencez par créer un formulaire de demande d’autorisation

Ce formulaire doit expliquer clairement que vous allez utiliser certaines données et dans quel but, et demander l’autorisation du destinataire, avec par exemple une case à cocher (mais attention, pas une case précochée).

4.2 Ensuite créez un mailing renvoyant au formulaire

Créez un mail expliquant les conditions d’utilisation de vos services et demandant le consentement de vos utilisateurs pour la collecte de données, l’envoi de courriels d’information ou d’offres promotionnelles.

Conservez bien les données de consentement données par vos prospects / clients. Gardez cette liste dans un dossier à part, afin de parer à toute éventualité.

5. Revoir les contrats avec vos prestataires et sous-traitants

Identifiez bien l’ensemble de vos sous-traitants et rassemblez tous vos contrats conclus avec vos différents prestataires. Vous devez vous assurer qu’ils seront conformes au nouveau règlement RGPD.

Le cas échéant, vous devez les amender sur la base de la clause type fournie par la CNIL, qui reprend les exigences posées par le RGPD.

6. Instaurer une charte de bonne pratique

Afin d’informer vos employés sur la manière dont ils doivent désormais réaliser la collecte et le traitement des données, pensez à créer des règles et des procédures internes sur les sujets suivants :

• Transparence de l’information : à chaque fois que vous collectez des données personnelles, le support utilisé (formulaire, questionnaire, etc.) devra comporter des mentions d’informations (finalité, fondement juridique, durée de conservation, modalités d’utilisation de ces données…).
• Conditions d’accès, durées de conservation et règles d’archivage (ex : définir clairement qui doit pouvoir accéder à quelles données dans votre entreprise, poser des règles automatiques d’effacement ou d’archivage au bout d’une certaine durée dans vos applications).
• Prises de mesures pour une sécurisation optimale des données.
• Processus de notification à la CNIL en cas de failles de sécurité.
• Processus de traitement de réponse aux demandes d’exercice des droits des personnes (droits d’accès, d’opposition, de rectification et de suppression des données ainsi que leur droit à la limitation, à la portabilité ou à l’oubli).

La conformité au RGPD est un sujet qui fera parler de lui encore plus dans les mois à venir, nous espérons que nous vous avons fourni les informations nécessaires pour y voir plus clair.

Vous avez encore des questions ?

Votre expert comptable SBA Compta met à votre disposition un service de coaching par téléphone ou chat avec des experts en gestion d’entreprise.

Nos Business Coachs vous apportent tous les conseils juridiques, fiscaux et financiers dont vous avez besoin.

Et nous faisons également :

• Vos contrats de travail, bulletins de paie, déclarations sociales
• Votre compta, liasses fiscales, trésorerie, TVA, tableau de bord
• Zéro paperasse, zéro saisie, zéro affectation !
• 100% DIGITAL – web ou appli mobile

Obtenez votre devis gratuit gestion en ligne au meilleur tarif expert comptable, réponse immédiate!