RGPD : comment se mettre en conformité avec le règlement européen ?

par
5
Obtenir un devis de Me Benhammou

Sommaire

  1. Les grandes étapes pour être en conformité avec le RGPD
  2. Comment rendre son site internet conforme au RGPD ?
  3. Pourquoi se faire accompagner par un avocat ?
Obtenir un devis de Me Benhammou

Depuis le 25 mai 2018, votre entreprise se doit d’être en conformité avec le Règlement général sur la protection des données (RGPD).  Ce règlement encadre la protection des données au sein de l’Union Européenne. Il concerne toutes les entreprises privées ou publiques, et ce quel que soit le nombre de salariés, donc même les entreprises individuelles, dès lors que l’activité de la société entraîne la récolte des données personnelles de citoyens européens.

L’objectif du RGPD est d’harmoniser la protection des données personnelles au sein de l’Union Européenne en posant un cadre légal commun, tout en responsabilisant les entreprises.

Selon ce règlement, les données personnelles visent « toute information se rapportant à une personne physique identifiée ou identifiable». Concrètement, il peut s’agir du nom de votre client, de son adresse postale, de ses données bancaires, son sexe, son email, son âge, ou encore son comportement d’achat, etc. Autrement dit, cette notion très large regroupe toutes les informations personnelles de vos clients, que votre entreprise est susceptible de collecter.

Il convient d’être attentif aux données dites « sensibles », c’est-à-dire celles qui révèlent l’origine, l’appartenance religieuse, la maladie, les convictions idéologiques, l’appartenance syndicale, etc. Il est en principe interdit de recueillir et d’utiliser ces données, sauf si l’intéressé y a consenti par écrit et si vous justifiez d’un motif légitime. 

S’il est évident qu’il est profitable à une entreprise de collecter des données sur ses clients afin d’identifier sa cible, d’analyser leur comportement et d’adapter en conséquence sa stratégie marketing, il n’en demeure pas moins que les entreprises se doivent d’être particulièrement vigilantes aux obligations imposées par le RGPD.

En effet, en France, c’est la Commission nationale de l’informatique (CNIL) qui veille au respect du RGPD par les entreprises.  Les sanctions qu’elle est susceptible de prononcer sont très dissuasives. Le montant de l’amende peut aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires. Elle peut également vous obliger à vous conformer au RGPD en vous condamnant à une somme par jour de retard, communément appelée « astreinte », qui peut aller jusqu’à 100 000 euros par jour.

Il est donc important d’anticiper et de se faire accompagner par un avocat spécialisé en droit des sociétés pour éviter tout litige avec la CNIL, dont les conséquences financières pourraient s’avérer catastrophiques pour votre société.

Maître Sarah Benhammou vous accompagne dans la mise en conformité RGPD de votre entreprise. 

 

1/ Les grandes étapes pour être en conformité avec le RGPD 

 

La cartographie des données

Le RGPD impose aux entreprises de recenser l’ensemble des données traitées dans le registre des traitements.  Ce document permet de visualiser de manière globale la façon dont sont traitées les données personnelles de votre entreprise.

 Il faudra notamment indiquer :

  • la nature des données collectées ;
  • les personnes concernées par ces données ;
  • les destinataires des données ;
  • leur durée de conservation ;
  • les mesures de sécurité les protégeant ;
  • les éventuelles données sensibles collectées ; 
  • leur finalité.  

Il ne faut pas perdre de vue qu’une entreprise a le droit de traiter et de conserver uniquement les données nécessaires pour son activité. Cela implique de faire un tri pour s’assurer que les données collectées sont bien utiles à l’entreprise.  

La finalité des données c’est-à-dire ce pourquoi vous les collectez, doit être légitime et explicite. Il peut s’agir par exemple de la gestion du recrutement, de la clientèle (adresse postale pour l’envoi de produits…), d’une enquête de satisfaction, de la facturation de vos clients, de l’envoi de communications marketing, etc.

Concrètement, si votre entreprise collecte des données lors de l’inscription à un service telle que la passation d’une commande sur un site de e-commerce, la finalité de la collecte des données serait l’envoi de la commande et la facturation de votre client, tandis que la base légale à ce traitement serait la conclusion et l’exécution d’un contrat de vente.  Ainsi, vous ne pouvez pas utiliser ces données pour un autre objectif que celui-ci ; la prospection commerciale constituerait par exemple une violation de la finalité des données.

L’entreprise sera donc tenue de respecter la finalité inscrite dans le registre des traitements.

L’information à l’égard de sa clientèle et de ses salariés

Votre entreprise ne traite pas seulement les données de sa clientèle, mais également celles de ses partenaires économiques ou encore de ses salariés. L’entreprise est tenue à leur égard à une obligation de transparence et d’information.

En effet, vous devez les informer au préalable que leurs données vont être collectées, et obtenir en ce sens leur consentement. Cela peut se matérialiser par exemple par une clause dans un contrat de travail, ou dans un contrat avec un fournisseur. 

Le recueil du consentement est primordial. Il permet d’informer vos utilisateurs sur la façon dont vont être traitées ces données et de leur laisser le choix d’accepter cette collecte en tout ou partie, ou d’y renoncer.

Selon le RGPD le consentement doit être :

  • libre, en ce que l’utilisateur a le choix d’accepter ou non ;
  • spécifique, le traitement des données doit correspondre à une finalité ;
  • éclairé, l’entreprise doit avoir communiqué suffisamment d’informations pour que l’intéressé fasse un choix de manière réfléchie ;
  • univoque, le consentement doit être donné par un acte clair et sans ambiguïté. 

On ne pourrait par exemple déduire le consentement d’une absence de réponse, ou d’une case pré-cochée.  

À tout moment, l’utilisateur est en droit de vous demander d’accéder à ses données collectées.  Vous serez alors obligé de satisfaire sa demande en lui envoyant ses données dans un fichier. On parle de droit à la portabilité de ses données.

Il peut également vous demander de modifier la portée de son consentement, ou encore de procéder à la suppression ou à la modification de ses données.

Organiser son entreprise en interne 

A la vue de ces nombreux éléments, vous l’aurez compris, maîtriser le RGPD n’est pas chose aisée. Cela nécessite une certaine organisation interne de l’entreprise. Il est en effet important de former ses collaborateurs aux obligations imposées par le RGPD. Vous pouvez tout à fait diffuser un manuel d’information à vos collaborateurs ou leur faire suivre une formation. Il s’agira notamment de les sensibiliser à la protection des données pour éviter toute fuite de données pouvant s’avérer préjudiciable pour votre entreprise.

Il vous incombe également de vérifier la conformité en interne de votre entreprise en matière de protection des données personnelles, pour exemples : 

  • Est-ce que les contrats de vos collaborateurs comportent bien une clause sur la protection des données personnelles ? 
  • Est-ce que les contrats avec vos sous-traitants et fournisseurs comportent une clause sur les données personnelles et organisent la responsabilité des deux parties sur la protection de ces données ? 
  • Est-il utile de mener une analyse d’impact ? 
  • Les mesures de sécurité informatiques sont-elles efficaces ? 

Dans certains cas, le RGPD impose qu’une personne spécifique soit chargée et responsable de la protection des données. Ce « chef d’orchestre » est communément appelé le délégué à la protection des données (DPO). Il est notamment obligatoire si vous traitez des données dites sensibles. Quoi qu’il en soit, il est recommandé de nommer un spécialiste responsable de la protection des données, tel qu’un avocat spécialisé en la matière.  

2/ Comment rendre son site internet conforme au RGPD ?

 

Les documents obligatoires

Lorsque vous ouvrez une boutique en ligne, vous devrez obligatoirement afficher vos mentions légales, votre politique de confidentialité, vos conditions générales de vente et respecter les règles d’utilisation des cookies.

La politique de confidentialité 

La politique de confidentialité ou politique de protection des données est obligatoire depuis 2018, suite à l’entrée en vigueur du RGPD. C’est le document dans lequel l’entreprise doit faire apparaître en détail l’ensemble des mentions obligatoires imposées par le RGPD. Ces mentions obligatoires sont :

  • l’identité du DPO ou du responsable du traitement des données ;
  • la finalité de ce traitement ;
  • la base juridique sur laquelle s’appuie votre politique de traitement, par exemple le consentement donné par l’utilisateur ;
  • le type de données collectée (nom, mail, etc) ;
  • la durée de conservation ;
  • les droits des personnes concernées (droit d’accès, droit de modification ou de suppression des données, droit à la portabilité, droit de réclamation auprès du CNIL) ;
  • le ou les destinataires de ces données, c’est-à-dire toutes les personnes et organismes qui ont besoin d’y accéder (collaborateurs, sous-traitants, etc).

Pour rédiger précisément ce document, il convient de se faire accompagner par un avocat.

Les mentions légales

Les mentions légales sont, quant à elles, obligatoires depuis 2004. Tous les sites internet doivent les afficher, qu’il s’agisse d’un site marchand ou d’un simple blog ou forum.  Elles permettent à l’utilisateur d’identifier clairement les personnes physiques et morales qui gèrent le site internet. Un certain nombre d’informations obligatoires doivent apparaître (raison sociale, SIREN, nom du gérant, coordonnées de contact, nom du responsable de la rédaction du site, de l’hébergeur, etc).

Les mentions obligatoires et la politique de confidentialité doivent apparaître clairement sur votre site. La pratique les affiche souvent sous la forme d’un lien en pied de page (footer du site). La CNIL peut en effet vous sanctionner si ces documents sont trop difficiles d’accès par l’utilisateur (ex : si l’utilisateur doit consulter plusieurs pages avant de les trouver, il vous aura déjà donné des informations de connexion contre son gré). 

Vous pouvez faire figurer votre politique de confidentialité au sein des mentions légales sur une seule et même page, ou décider de les faire apparaître de manière distincte sur votre site, sur deux pages différentes, le plus souvent en bas de page de la page d’accueil. 

Les conditions générales de vente

Les conditions générales de vente (CGV ou CGV e-commerce) devront obligatoirement être mises à jour en comportant une clause relative aux données personnelles.  Il s’agira de mentionner leur collecte et le consentement de l’utilisateur. Vous pourrez utiliser un lien pour renvoyer l’internaute vers votre politique de confidentialité, pour plus de détails.

En outre, vos CGV seront obligatoires pour encadrer la relation commerciale avec vos clients et répondre à l’obligation d’information précontractuelle qui incombe à tout professionnel (en vertu des règles du Code de la consommation). 

Devront notamment être mentionnées les coordonnées de l’entreprise, les caractéristiques du bien, les prix, les règles de livraison et de rétractation. 

La gestion et la politique des cookies

Les cookies sont un procédé de traçage du comportement de l’utilisateur sur un site internet. Ainsi, ils permettent notamment d’analyser le comportement de l’utilisateur en permettant à l’entreprise de connaître chaque action réalisée par l'utilisateur, concrètement il s’agit des pages visitées, du contenu du panier, des identifiants de connexions, etc.

Ces outils permettent également de retenir les préférences et habitudes de navigation des utilisateurs, ce qui représente un avantage non négligeable pour les éditeurs du site internet mais également pour les régies publicitaires

Le RGPD oblige les sites internet à informer les utilisateurs de la présence de cookies. Il importe de faire apparaître un bandeau pour assurer le recueil du consentement de l’internaute. 

Attention : depuis le 1er avril 2021, la CNIL a dévoilé de nouvelles directives auxquelles les sites doivent aujourd’hui se conformer. 

Il était d’usage de considérer que l’utilisateur avait consenti à l'utilisation de ces cookies lorsque ce dernier poursuivait sa navigation sur le site après l’affichage d’un bandeau l’informant de l’utilisation de cookies type : “En poursuivant votre navigation, vous acceptez l’utilisation de cookies”. 

Ce consentement implicite ne vaut plus. Aujourd’hui, le site doit clairement informer l’utilisateur de l’utilisation de cookies sur le site ainsi que leur finalité, et doit pour recueillir le consentement, permettre à l’utilisateur de refuser l’ensemble des cookies, les accepter, voire de choisir les cookies dont il accepte l’utilisation. 

D’un point de vue technique, il est aujourd’hui recommandé aux propriétaires de site d’utiliser une CMP (Consent Management Plateform) afin de recueillir le consentement selon les règles imposées par la CNIL. Un avocat spécialisé sera à même de vous accompagner sur la rédaction de votre politique de gestion des cookies ou encore sur la validité de votre bandeau d’information et de collecte des cookies. Celui-ci informe notamment l’utilisateur sur la finalité des données, la durée de conservation, et la possibilité de refuser en tout ou partie la collecte. 

3/ Pourquoi se faire accompagner par un avocat ?

 

Maîtriser le RGPD, c’est éviter de lourdes sanctions financières pouvant être prononcées par la CNIL. C’est aussi une démarche marketing visant à donner confiance à vos clients, tout en donnant de la valeur ajoutée à votre image de marque. Cela permet d’être transparent vis-à-vis de vos clients, notamment en les rassurant sur la protection de leurs données.

Pour répondre à toutes ces questions et savoir concrètement ce que vous devrez mettre en place au sein de votre entreprise pour assurer votre conformité au RGPD, il est recommandé de faire appel à un avocat spécialisé en la matière afin qu’il mène un audit de conformité de votre entreprise. Par cet audit, il vous remettra un rapport dit “plan d’action” dans lequel il identifiera tous les points à améliorer et vous donnera la liste des actions à mettre en place au sein de votre entité. 

Un avocat spécialisé en la matière vous accompagnera dans les étapes clés du RGPD. Qu’il s’agisse de le désigner en tant que DPO, ou de vous assister dans la rédaction de vos documents obligatoires, il vous permettra de rester en conformité au RGPD tout au long de la vie de votre entreprise.  

 

Me Sarah Benhammou

Écrit par

Me Sarah Benhammou

Me Sarah Benhammou, avocate au Barreau de Paris, intervient aux côtés des jeunes entreprises, start-up, PME et associations dans toutes leurs démarches juridiques en droit des contrats et droit des sociétés. En tant que DPO, elle assiste également les entreprises dans leur mise en conformité avec la Loi Informatique et Liberté et le R.G.P.D. 

Tous les articles similaires

Consultez nos articles pour parfaire vos connaissances

RGPD : évaluez en 20 questions la conformité de votre entreprise

Le 25 mai prochain, le nouveau Règlement Général sur la Protection des Données (RGPD) entrera en ...

Maxime

Maxime

L'éditeur de logiciel Saas face au RGPD, par Me Znaty

Vous êtes éditeur de logiciel SaaS et intervenez en tant que prestataire pour le compte de ...

Me Benjamin Znaty

Me Benjamin Znaty

Règlement général sur la protection des données (RGPD) : quel impact sur les conditions générales de vente (CGV) ?

Le Règlement général sur la protection des données (RGPD), applicable depuis le 25 mai 2018, vise à ...

Me Mathilde Lefroy

Me Mathilde Lefroy

La clause de confidentialité dans le contrat de travail

Pour éviter la divulgation d’un secret professionnel par un employé, le droit français a créé un ...

Maxime

Maxime

Accord de confidentialité : pourquoi et comment le rédiger ?

Vous envisagez de transmettre des informations sensibles à un partenaire commercial potentiel ? Au ...

Philippe

Philippe

Les limites de la protection des données personnelles du salarié

Dans le cadre d’une entreprise, de nombreuses informations au sujet du salarié sont conservées pour ...

Maxime

Maxime

Qu’est-ce qu’une charte/politique de confidentialité ?

En raison du fort développement des services en ligne, les données personnelles des utilisateurs ...

Me Julien Smadja

Me Julien Smadja

RGPD : qui est concerné ?

L’Union européenne a adopté le 14 avril 2016 le règlement général sur la protection des données ...

Maxime

Maxime

Modèle de contrat SaaS : un pari risqué avec le RGPD ?

Vous êtes en train de développer un tout nouveau logiciel, celui-ci sera exploité en mode Saas. ...

Maxime

Maxime

Commentaires

Laisser un commentaire

Vous avez démarré un dossier de chez nous… Vous pouvez le reprendre dès maintenant !

Reprendre votre dossier