Si votre entreprise collecte et traite des données personnelles dans le cadre de son activité, elle doit se conformer aux exigences du RGPD (règlement général sur la protection des données). Vous devez mettre en place les mesures nécessaires pour protéger les données que vous collectez, et pouvoir prouver que vous avez tout fait pour éviter les éventuels incidents de sécurité.
Alors pourquoi est-il indispensable de maîtriser et de respecter les exigences du RGPD ? Comment être aux normes en 2024 ? Et quelles sont les actions à mettre en place pour maintenir sa conformité au RGPD ?
Le RGPD, qu’est-ce que c’est ?
Entré en application le 25 mai 2018, le RGPD (règlement général sur la protection des données) est un texte réglementaire européen. Il encadre la collecte, le traitement et le stockage des données personnelles.
Un texte réglementaire européen, qui encadre le traitement des données
Le RGPD a pour objectif d’encadrer le traitement des données personnelles sur le territoire de l’Union européenne. La CNIL définit une donnée personnelle comme « toute information se rapportant à une personne physique identifiée ou identifiable ». Il peut s’agir d’un nom, d’une photo ou d’une vidéo, d’une adresse mail, d’un numéro client ou d’un numéro de Sécurité sociale…
Une entreprise peut effectuer plusieurs types d’opérations sur des données à caractère personnel : collecter des informations via un questionnaire ou un formulaire d’inscription, tenir un fichier client ou un fichier fournisseur, conserver des CV, mettre en place un système de vidéosurveillance… C’est ce que l’on appelle du « traitement de données personnelles ».
Le RGPD impose aux entreprises qui collectent et/ou traitent des données personnelles de respecter un certain nombre de règles. L’objectif ? Protéger les droits des personnes, responsabiliser les entreprises qui traitent ces données et établir une véritable régulation au niveau européen (grâce à la coopération des différentes autorités de contrôle).
La garantie d’un maximum de transparence et de sécurité pour les utilisateurs
Le texte exige d’abord que toutes les actions de collecte, de traitement et de stockage des données soient effectuées de manière transparente. En plus d’informer leurs utilisateurs et de récolter leur consentement, les entreprises doivent mettre en place des politiques de confidentialité et des procédures en cas de violation de données.
Le RGPD vise ensuite les droits des utilisateurs. Ils doivent avoir accès à leurs données, et pouvoir les corriger, les effacer ou s’opposer à leur traitement. Le RGPD prévoit cinq droits fondamentaux : le droit d’accès, le droit d’opposition, le droit de rectification, le droit à l’oubli et le droit à la portabilité.
Le règlement évoque enfin la responsabilité et les obligations des entreprises. Elles sont responsables des données qu’elles collectent, et doivent tout faire pour les protéger. En cas de violation de ces données, elles doivent informer rapidement les internautes et les autorités compétentes (dans les 72 heures).
Des règles qui s’appliquent à toutes les entreprises de l’Union européenne
Le RGPD s’applique à toutes les structures privées et publiques établies sur le territoire de l’Union européenne (et à celles dont l’activité cible des résidents européens). Toutes les entreprises sont concernées, quelle que soit leur taille ou leur secteur d’activité. Et le règlement s’applique également aux sous-traitants !
Bon à savoir : les entreprises qui ne respectent pas les dispositions du RGPD s’exposent à d’importantes sanctions financières (jusqu’à 20 millions d’euros ou jusqu’à 4 % du chiffre d’affaires annuel mondial).
S’il leur impose le respect de règles strictes, le règlement général sur la protection des données offre également certains avantages aux entreprises. Se conformer au RGPD leur permet en effet de répondre aux exigences actuelles des consommateurs en matière de responsabilité et de transparence, et de renforcer la confiance de leurs clients (et donc leur fidélité !).
Comment s’assurer d’être en conformité avec le RGPD ?
Lorsqu’elle collecte, utilise ou stocke des données, votre entreprise doit s’assurer de respecter les exigences du RGPD. Et cette mise en conformité n’est pas une action isolée ! En effet, même si vous avez pris toutes les mesures nécessaires dès l’application de cette nouvelle réglementation, vous devez continuer à améliorer les processus de sécurité et de traitement de vos données. Alors comment savoir si votre entreprise est toujours aux normes en 2024 ? La CNIL recommande de mener quatre grandes actions pour maintenir sa mise en conformité.
Tenir à jour le registre des activités de traitement
Tenir un registre des activités de traitement permet à votre entreprise de documenter sa conformité. En cas de contrôle, elle peut facilement présenter ce document, et prouver qu’elle se conforme aux exigences du RGPD.
Ce registre recense tous les traitements de données de votre entreprise. Il doit d’abord identifier clairement toutes les activités qui utilisent des données personnelles : la gestion de la paie ou le recrutement, la mise en place d’actions de formation, la gestion des prospects ou le suivi des newsletters…
Vous pouvez ensuite créer une fiche pour chaque activité recensée dans votre registre, et mentionner :
- les personnes responsables du traitement (qui collecte ces données ?) ;
- le type de données traitées (identité, données bancaires, situation familiale…) ;
- l’objectif de la collecte (à quoi servent ces données, qui les utilise et à qui sont-elles transmises ?) ;
- la durée de conservation des données ;
- les mesures de protection et de sécurité mises en place.
Le registre des activités de traitement vous permet d’avoir une vue d’ensemble du traitement des données au sein de votre entreprise. Il doit être mis à jour régulièrement, et prendre en compte les dernières exigences ou évolutions réglementaires. Tous les services de l’entreprise qui traitent des données personnelles doivent participer à sa mise à jour.
À noter : les entreprises de moins de 250 salariés ne doivent inscrire sur leur registre que les traitements qui portent sur des données sensibles, les traitements susceptibles de comporter un risque pour les droits et libertés des personnes, et les traitements non occasionnels (fichier client, par exemple).
Effectuer un tri régulier des données
Le registre vous permet d’avoir une vision globale de tous les traitements de données de votre entreprise. Et il vous permet également de trier régulièrement ces données, pour être en conformité avec le RGPD.
Il vous permet notamment de vérifier que :
- les données que vous traitez sont pertinentes, et nécessaires à l’objectif poursuivi : par exemple, un établissement scolaire n’a pas besoin de connaître la religion de l’enfant scolarisé, ou le numéro de sécurité sociale de ses parents ;
- vous ne collectez pas de données sensibles (des données relatives à la santé, par exemple). Si vous traitez ce type de données, assurez-vous d’en avoir le droit, et vérifiez si vous avez mis en place les mesures de protection adaptées ;
- seules les personnes habilitées ont accès aux données qui leur sont utiles ;
- les données ne sont pas conservées au-delà de ce qui est nécessaire : pour chaque fiche, vous devez fixer une durée de conservation et d’archivage des données.
Trier vos données peut vous permettre de réduire le nombre d’informations collectées pour certaines activités ou d’éliminer des informations inutiles. Vous pouvez également revoir les attributions des personnes responsables, ou redéfinir vos règles d’effacement ou d’archivage automatique.
Vérifier ses mentions d’information
Pour être aux normes et conforme au RGPD, votre entreprise doit également respecter l’obligation d’information et de transparence à l’égard des personnes dont elle traite les données. N’oubliez pas qu’il peut s’agir de vos prospects et de vos clients, mais aussi de vos collaborateurs !
Prenez le temps de vérifier si le support que vous utilisez pour collecter les données personnelles comporte bien les mentions d’information obligatoires. Vous devez expliquer clairement pourquoi vous traitez ces données, et ce qui vous autorise à le faire (le respect d’une obligation légale, le consentement de l’utilisateur, l’exécution d’un contrat…). Vous devez également préciser qui a accès à ces données, et combien de temps elles sont conservées. Le message doit enfin mentionner que les utilisateurs ont des droits, et expliquer comment ils peuvent les exercer (en adressant un courrier postal ou un email, via un espace personnel ou un compte en ligne…).
Pour éviter un texte trop long (sur un formulaire ou un questionnaire, par exemple), vous pouvez ajouter un message simple qui renvoie à la page « politique de confidentialité » de votre site internet.
Important : si votre entreprise transfère des données hors de l’UE, elle doit en informer l’utilisateur. Elle doit préciser le nom du ou des pays concernés, et l’encadrement juridique prévu pour maintenir le niveau de protection des données.
S’assurer de la protection des données
Pour maintenir sa conformité au RGPD, votre entreprise doit s’assurer de tout mettre en œuvre pour protéger et sécuriser ses données.
Selon la sensibilité des données et le niveau de risques, elle peut avoir recours à plusieurs mesures :
- des mesures techniques et informatiques : mise en place de solutions de cybersécurité, utilisation d’antivirus et de logiciels dédiés, création de mots de passe complexes et mises à jour régulières, chiffrement de certaines données, mise en place de procédures de sauvegarde et de récupération des données… ;
- des mesures physiques et organisationnelles : sécurisation des accès aux locaux, utilisation de coffres-forts et d’armoires sécurisées, sensibilisation régulière des équipes aux enjeux de la protection des données personnelles…
En cas de violation de données à caractère personnel, l’entreprise doit notifier l’incident à la CNIL dans les meilleurs délais. Cette notification lui permet de répondre à son obligation de documentation interne.
La formation, un outil précieux pour s’assurer de la conformité au RGPD
Pour s’assurer d’être aux normes et conforme au RGPD, votre entreprise doit mettre en place des contrôles et des audits réguliers. Mais il est aussi indispensable de vérifier que tous les collaborateurs comprennent et maîtrisent les enjeux du RGPD. Former les équipes de l’entreprise à cette réglementation permet en effet de garantir une meilleure protection des données personnelles.
Vous souhaitez en savoir plus sur les risques liés à votre activité ou au développement d’un nouveau site web ? Vous vous demandez si vous êtes en conformité avec les dernières réglementations et le RGPD ? Dispensée par un avocat spécialisé, la formation Droit de l’internet & RGPD de VISIPLUS academy vous offre une vision globale et transversale du droit de l’Internet. Elle vous permet de mieux cerner la législation en matière de gestion des données, et de mettre en œuvre les actions adéquates pour vous mettre en conformité.
Acteur incontournable de la formation en ligne, VISIPLUS academy propose également une formation DPO : gérer efficacement la protection des données. Elle s’adresse aux correspondants informatique et libertés et aux DPO (délégués à la protection des données), mais aussi à toutes les personnes amenées à traiter des données à caractère personnel. Cette formation permet de maîtriser les enjeux et les principales dispositions du RGPD. L’objectif ? Pouvoir définir et mettre en place un plan d’action efficace, pour garantir la mise en conformité de l’entreprise.
Vous souhaitez en savoir plus sur ces formations ? N’hésitez pas à contacter nos équipes.