Ravis de vous revoir ! Votre démarche a été enregistrée 🚀 Reprendre ma démarche
  1. Ressources
  2. Gestion
  3. Politique de confidentialité - RGPD
  4. RGPD : comment se mettre en conformité avec le règlement européen ?

RGPD : comment se mettre en conformité avec le règlement européen ?

Me Sarah Benhammou
Me Sarah Benhammou Avocate, spécialisée en RGPD et droit des contrats Relu par Clémence Bonnet, Diplômée de l'École des Avocats

Depuis le 25 mai 2018, votre entreprise se doit d’être en conformité avec le Règlement général sur la protection des données (RGPD).  Ce règlement encadre la protection des données au sein de l’Union Européenne. Il concerne toutes les entreprises privées ou publiques, et ce quel que soit le nombre de salariés, donc même les entreprises individuelles, dès lors que l’activité de la société entraîne la récolte des données personnelles de citoyens européens.

L’objectif du RGPD est d’harmoniser la protection des données personnelles au sein de l’Union Européenne en posant un cadre légal commun, tout en responsabilisant les entreprises.

Selon ce règlement, les données personnelles visent « toute information se rapportant à une personne physique identifiée ou identifiable». Concrètement, il peut s’agir du nom de votre client, de son adresse postale, de ses données bancaires, son sexe, son email, son âge, ou encore son comportement d’achat, etc. Autrement dit, cette notion très large regroupe toutes les informations personnelles de vos clients, que votre entreprise est susceptible de collecter.

Il convient d’être attentif aux données dites « sensibles », c’est-à-dire celles qui révèlent l’origine, l’appartenance religieuse, la maladie, les convictions idéologiques, l’appartenance syndicale, etc. Il est en principe interdit de recueillir et d’utiliser ces données, sauf si l’intéressé y a consenti par écrit et si vous justifiez d’un motif légitime. 

S’il est évident qu’il est profitable à une entreprise de collecter des données sur ses clients afin d’identifier sa cible, d’analyser leur comportement et d’adapter en conséquence sa stratégie marketing, il n’en demeure pas moins que les entreprises se doivent d’être particulièrement vigilantes aux obligations imposées par le RGPD.

En effet, en France, c’est la Commission nationale de l’informatique (CNIL) qui veille au respect du RGPD par les entreprises.  Les sanctions qu’elle est susceptible de prononcer sont très dissuasives. Le montant de l’amende peut aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires. Elle peut également vous obliger à vous conformer au RGPD en vous condamnant à une somme par jour de retard, communément appelée « astreinte », qui peut aller jusqu’à 100 000 euros par jour.

Il est donc important d’anticiper et de se faire accompagner par un avocat spécialisé en droit des sociétés pour éviter tout litige avec la CNIL, dont les conséquences financières pourraient s’avérer catastrophiques pour votre société.

Maître Sarah Benhammou vous accompagne dans la mise en conformité RGPD de votre entreprise. 

 

 

1/ Les grandes étapes pour être en conformité avec le RGPD 

 

La cartographie des données

 

Le RGPD impose aux entreprises de recenser l’ensemble des données traitées dans le registre des traitements.  Ce document permet de visualiser de manière globale la façon dont sont traitées les données personnelles de votre entreprise.

 Il faudra notamment indiquer :

  • la nature des données collectées ;
  • les personnes concernées par ces données ;
  • les destinataires des données ;
  • leur durée de conservation ;
  • les mesures de sécurité les protégeant ;
  • les éventuelles données sensibles collectées ; 
  • leur finalité.  

 

Il ne faut pas perdre de vue qu’une entreprise a le droit de traiter et de conserver uniquement les données nécessaires pour son activité. Cela implique de faire un tri pour s’assurer que les données collectées sont bien utiles à l’entreprise.  

La finalité des données c’est-à-dire ce pourquoi vous les collectez, doit être légitime et explicite. Il peut s’agir par exemple de la gestion du recrutement, de la clientèle (adresse postale pour l’envoi de produits…), d’une enquête de satisfaction, de la facturation de vos clients, de l’envoi de communications marketing, etc.

Concrètement, si votre entreprise collecte des données lors de l’inscription à un service telle que la passation d’une commande sur un site de e-commerce, la finalité de la collecte des données serait l’envoi de la commande et la facturation de votre client, tandis que la base légale à ce traitement serait la conclusion et l’exécution d’un contrat de vente.  Ainsi, vous ne pouvez pas utiliser ces données pour un autre objectif que celui-ci ; la prospection commerciale constituerait par exemple une violation de la finalité des données.

L’entreprise sera donc tenue de respecter la finalité inscrite dans le registre des traitements.

 

L’information à l’égard de sa clientèle et de ses salariés

 

Votre entreprise ne traite pas seulement les données de sa clientèle, mais également celles de ses partenaires économiques ou encore de ses salariés. L’entreprise est tenue à leur égard à une obligation de transparence et d’information.

En effet, vous devez les informer au préalable que leurs données vont être collectées, et obtenir en ce sens leur consentement. Cela peut se matérialiser par exemple par une clause dans un contrat de travail, ou dans un contrat avec un fournisseur. 

Le recueil du consentement est primordial. Il permet d’informer vos utilisateurs sur la façon dont vont être traitées ces données et de leur laisser le choix d’accepter cette collecte en tout ou partie, ou d’y renoncer.

Selon le RGPD le consentement doit être :

  • libre, en ce que l’utilisateur a le choix d’accepter ou non ;
  • spécifique, le traitement des données doit correspondre à une finalité ;
  • éclairé, l’entreprise doit avoir communiqué suffisamment d’informations pour que l’intéressé fasse un choix de manière réfléchie ;
  • univoque, le consentement doit être donné par un acte clair et sans ambiguïté. 

 

On ne pourrait par exemple déduire le consentement d’une absence de réponse, ou d’une case pré-cochée.  

À tout moment, l’utilisateur est en droit de vous demander d’accéder à ses données collectées.  Vous serez alors obligé de satisfaire sa demande en lui envoyant ses données dans un fichier. On parle de droit à la portabilité de ses données.

Il peut également vous demander de modifier la portée de son consentement, ou encore de procéder à la suppression ou à la modification de ses données.

 

Organiser son entreprise en interne 

 

A la vue de ces nombreux éléments, vous l’aurez compris, maîtriser le RGPD n’est pas chose aisée. Cela nécessite une certaine organisation interne de l’entreprise. Il est en effet important de former ses collaborateurs aux obligations imposées par le RGPD. Vous pouvez tout à fait diffuser un manuel d’information à vos collaborateurs ou leur faire suivre une formation. Il s’agira notamment de les sensibiliser à la protection des données pour éviter toute fuite de données pouvant s’avérer préjudiciable pour votre entreprise.

Il vous incombe également de vérifier la conformité en interne de votre entreprise en matière de protection des données personnelles, pour exemples : 

  • Est-ce que les contrats de vos collaborateurs comportent bien une clause sur la protection des données personnelles ? 
  • Est-ce que les contrats avec vos sous-traitants et fournisseurs comportent une clause sur les données personnelles et organisent la responsabilité des deux parties sur la protection de ces données ? 
  • Est-il utile de mener une analyse d’impact ? 
  • Les mesures de sécurité informatiques sont-elles efficaces ? 

 

Dans certains cas, le RGPD impose qu’une personne spécifique soit chargée et responsable de la protection des données. Ce « chef d’orchestre » est communément appelé le délégué à la protection des données (DPO). Il est notamment obligatoire si vous traitez des données dites sensibles. Quoi qu’il en soit, il est recommandé de nommer un spécialiste responsable de la protection des données, tel qu’un avocat spécialisé en la matière.  

 

2/ Comment rendre son site internet conforme au RGPD ?

 

Les documents obligatoires

 

Lorsque vous ouvrez une boutique en ligne, vous devrez obligatoirement afficher vos mentions légales, votre politique de confidentialité, vos conditions générales de vente et respecter les règles d’utilisation des cookies.

La politique de confidentialité 

La politique de confidentialité ou politique de protection des données est obligatoire depuis 2018, suite à l’entrée en vigueur du RGPD. C’est le document dans lequel l’entreprise doit faire apparaître en détail l’ensemble des mentions obligatoires imposées par le RGPD. Ces mentions obligatoires sont :

  • l’identité du DPO ou du responsable du traitement des données ;
  • la finalité de ce traitement ;
  • la base juridique sur laquelle s’appuie votre politique de traitement, par exemple le consentement donné par l’utilisateur ;
  • le type de données collectée (nom, mail, etc) ;
  • la durée de conservation ;
  • les droits des personnes concernées (droit d’accès, droit de modification ou de suppression des données, droit à la portabilité, droit de réclamation auprès du CNIL) ;
  • le ou les destinataires de ces données, c’est-à-dire toutes les personnes et organismes qui ont besoin d’y accéder (collaborateurs, sous-traitants, etc).

 

Pour rédiger précisément ce document, il convient de se faire accompagner par un avocat.

Les mentions légales

Les mentions légales sont, quant à elles, obligatoires depuis 2004. Tous les sites internet doivent les afficher, qu’il s’agisse d’un site marchand ou d’un simple blog ou forum.  Elles permettent à l’utilisateur d’identifier clairement les personnes physiques et morales qui gèrent le site internet. Un certain nombre d’informations obligatoires doivent apparaître (raison sociale, SIREN, nom du gérant, coordonnées de contact, nom du responsable de la rédaction du site, de l’hébergeur, etc).

Les mentions obligatoires et la politique de confidentialité doivent apparaître clairement sur votre site. La pratique les affiche souvent sous la forme d’un lien en pied de page (footer du site). La CNIL peut en effet vous sanctionner si ces documents sont trop difficiles d’accès par l’utilisateur (ex : si l’utilisateur doit consulter plusieurs pages avant de les trouver, il vous aura déjà donné des informations de connexion contre son gré). 

Vous pouvez faire figurer votre politique de confidentialité au sein des mentions légales sur une seule et même page, ou décider de les faire apparaître de manière distincte sur votre site, sur deux pages différentes, le plus souvent en bas de page de la page d’accueil. 

 

Les conditions générales de vente

Les conditions générales de vente (CGV ou CGV e-commerce) devront obligatoirement être mises à jour en comportant une clause relative aux données personnelles.  Il s’agira de mentionner leur collecte et le consentement de l’utilisateur. Vous pourrez utiliser un lien pour renvoyer l’internaute vers votre politique de confidentialité, pour plus de détails.

En outre, vos CGV seront obligatoires pour encadrer la relation commerciale avec vos clients et répondre à l’obligation d’information précontractuelle qui incombe à tout professionnel (en vertu des règles du Code de la consommation). 

Devront notamment être mentionnées les coordonnées de l’entreprise, les caractéristiques du bien, les prix, les règles de livraison et de rétractation. 

 

La gestion et la politique des cookies

Les cookies sont un procédé de traçage du comportement de l’utilisateur sur un site internet. Ainsi, ils permettent notamment d’analyser le comportement de l’utilisateur en permettant à l’entreprise de connaître chaque action réalisée par l'utilisateur, concrètement il s’agit des pages visitées, du contenu du panier, des identifiants de connexions, etc.

Ces outils permettent également de retenir les préférences et habitudes de navigation des utilisateurs, ce qui représente un avantage non négligeable pour les éditeurs du site internet mais également pour les régies publicitaires

Le RGPD oblige les sites internet à informer les utilisateurs de la présence de cookies. Il importe de faire apparaître un bandeau pour assurer le recueil du consentement de l’internaute. 

Attention : depuis le 1er avril 2021, la CNIL a dévoilé de nouvelles directives auxquelles les sites doivent aujourd’hui se conformer. 

Il était d’usage de considérer que l’utilisateur avait consenti à l'utilisation de ces cookies lorsque ce dernier poursuivait sa navigation sur le site après l’affichage d’un bandeau l’informant de l’utilisation de cookies type : “En poursuivant votre navigation, vous acceptez l’utilisation de cookies”. 

Ce consentement implicite ne vaut plus. Aujourd’hui, le site doit clairement informer l’utilisateur de l’utilisation de cookies sur le site ainsi que leur finalité, et doit pour recueillir le consentement, permettre à l’utilisateur de refuser l’ensemble des cookies, les accepter, voire de choisir les cookies dont il accepte l’utilisation. 

D’un point de vue technique, il est aujourd’hui recommandé aux propriétaires de site d’utiliser une CMP (Consent Management Plateform) afin de recueillir le consentement selon les règles imposées par la CNIL. Un avocat spécialisé sera à même de vous accompagner sur la rédaction de votre politique de gestion des cookies ou encore sur la validité de votre bandeau d’information et de collecte des cookies. Celui-ci informe notamment l’utilisateur sur la finalité des données, la durée de conservation, et la possibilité de refuser en tout ou partie la collecte. 

 

 

3/ Pourquoi se faire accompagner par un avocat ?

 

Maîtriser le RGPD, c’est éviter de lourdes sanctions financières pouvant être prononcées par la CNIL. C’est aussi une démarche marketing visant à donner confiance à vos clients, tout en donnant de la valeur ajoutée à votre image de marque. Cela permet d’être transparent vis-à-vis de vos clients, notamment en les rassurant sur la protection de leurs données.

Pour répondre à toutes ces questions et savoir concrètement ce que vous devrez mettre en place au sein de votre entreprise pour assurer votre conformité au RGPD, il est recommandé de faire appel à un avocat spécialisé en la matière afin qu’il mène un audit de conformité de votre entreprise. Par cet audit, il vous remettra un rapport dit “plan d’action” dans lequel il identifiera tous les points à améliorer et vous donnera la liste des actions à mettre en place au sein de votre entité. 

Un avocat spécialisé en la matière vous accompagnera dans les étapes clés du RGPD. Qu’il s’agisse de le désigner en tant que DPO, ou de vous assister dans la rédaction de vos documents obligatoires, il vous permettra de rester en conformité au RGPD tout au long de la vie de votre entreprise.  

Une question ? Laissez votre commentaire

Vos coordonnées sont obligatoires afin que l’on puisse vous répondre

Besoin d'échanger avec un avocat ?
Consulter Me Benhammou
Me Sarah Benhammou

Avocate au Barreau de Paris, spécialisée en RGPD et droit des contrats, Me Sarah Benhammou intervient aux côtés des jeunes entreprises, start-up, PME et associations dans toutes leurs démarches juridiques. En tant que DPO, elle assiste les entreprises dans leur mise en conformité avec la Loi Informatique et Liberté ainsi que le RGPD : audit, mise en conformité, tenue du registre de traitement, mise en conformité de site internet.

Relu par Clémence Bonnet

Tous les articles similaires

Consultez nos articles pour parfaire vos connaissances

Startup et RGPD : les 5 questions les plus posées
8 min
Startup et RGPD : les 5 questions les plus posées
La sensibilisation de l'entreprise au RGPD : une étape obligatoire
6 min
La sensibilisation de l'entreprise au RGPD : une étape obligatoire
Qu’est-ce qu’une charte/politique de confidentialité ?
4 min
Qu’est-ce qu’une charte/politique de confidentialité ?
RGPD et e-commerce : 4 actions concrètes à mener en 2024
4 min
RGPD et e-commerce : 4 actions concrètes à mener en 2024
Politique de confidentialité et cookies : site e-commerce conforme RGPD
5 min
Politique de confidentialité et cookies : site e-commerce conforme RGPD
Mentions légales conformes au RGPD : nos conseils
5 min
Mentions légales conformes au RGPD : nos conseils
RGPD : qui est concerné ?
3 min
RGPD : qui est concerné ?
Règlement européen sur la protection des données : êtes-vous à jour ?
3 min
Règlement européen sur la protection des données : êtes-vous à jour ?
CGV conformes au RGPD : quelles sont les modifications à apporter ?
4 min
CGV conformes au RGPD : quelles sont les modifications à apporter ?
RGPD (Règlement général sur la protection des données) : quels changements en mai 2018 ?
3 min
RGPD (Règlement général sur la protection des données) : quels changements en mai 2018 ?