La sensibilisation de l'entreprise au RGPD : une étape obligatoire

Le 14 avril 2016, le Règlement Général sur la Protection des Données (RGPD) a été adopté au sein de l’Union européenne avec un objectif clair : encadrer le traitement des données personnelles sur l’ensemble du territoire de l’Union européenne. Il était en effet devenu urgent d’harmoniser les pratiques et de renforcer les droits des personnes en matière de protection des données tout en responsabilisant les acteurs en charge de leur traitement.

Ainsi depuis l’entrée en vigueur du Règlement en France le 25 mai 2018, il est désormais obligatoire pour tout acteur public ou privé implanté sur le sol de l’Union européenne (ou dont l’activité cible des résidents européens) et qui traite des données personnelles, de se mettre en conformité avec le Règlement. Et ce, peu importe la taille de l’organisme en question. 

Les dirigeants de TPE, PME étaient nombreux à sous-estimer ce nouveau règlement, pensant à tort qu’il ne visait que les grosses entreprises. Certes ces dernières étaient davantage dans le viseur des autorités (la CNIL) et leurs condamnations demeurent plus médiatisées. Mais si la CNIL a fait preuve de souplesse les premières années, laissant ainsi le temps aux petites entreprises de s’organiser dans leur mise en conformité, cette période de tolérance est révolue. 

Les PME et les TPE ne sont pas exemptées de ces obligations et doivent impérativement mettre en place leur propre dispositif de protection des données.

Mais alors qu’est-ce que le Règlement RGPD ? Quel est l’objectif de ce Règlement ? Comment se mettre en conformité et pourquoi l’étape de sensibilisation est-elle si importante ? Quels sont les avantages à bien respecter les obligations en matière de traitement des données ?

Me Sarah Benhammou décrypte le sujet pour vous.

1. Les prémices du Règlement RGPD

Avec l’essor du tout numérique et des nouvelles technologies, les internautes laissent quotidiennement un très grand nombre de données dès lors qu’ils se rendent sur Internet. Ces données représentent une véritable mine d’or pour les entreprises qui se sont parfois octroyées le droit de les récolter sans pour autant en avoir de réelle utilité ou encore sans en informer les utilisateurs.

Il était donc apparu nécessaire de renforcer la protection accordée à ces données personnelles. 

Avant tout chose, il est très important de bien différencier d’une part, les données personnelles, et d’autre part, les données sensibles. D’après le Règlement,« toute information se rapportant à une personne physique identifiée ou identifiable », constitue une donnée personnelle. Il s’agit donc des informations permettant d’identifier ou bien de géolocaliser une personne grâce à un nom, une adresse postale, une adresse mail, un numéro de sécurité sociale, un numéro de carte bancaire, une photo, des identifiants de connexion ou encore une adresse IP.

Au sein de cette catégorie des données personnelles, il existe une sous-catégorie qui regroupe les données dites « sensibles ». Il s’agit d’informations relatives à l’origine raciale ou ethnique, à l’état de santé, à l’orientation ou à la vie sexuelle, aux opinions politiques, religieuses ou philosophiques, à l’appartenance syndicale ou encore aux informations génétiques. Le recueil ainsi que l’utilisation de ces données sont totalement interdits par le Règlement sauf dans quelques cas précis (par exemple, si la personne a donné son consentement, ou encore si les informations sont nécessaires à la sauvegarde de la vie humaine). 

En outre, et nous l’avons dit, le champ d’application du Règlement est extrêmement large puisqu’il concerne l’ensemble des structures privées ou publiques qui vont collecter et/ou traiter des données et ceci peu importe le secteur d’activité de l’entreprise, sa taille ou son chiffre d'affaires annuel.

L’ensemble des organismes présents au sein de l’Union européenne sont concernés par ce Règlement, ainsi que les organismes situés en dehors de l’Union dès lors qu’ils exercent une activité ciblant directement des résidents européens.  

2. Mise en conformité avec le Règlement RGPD : l’importance de bien sensibiliser les entreprises

Il existe différentes étapes à bien respecter afin de rendre son entreprise conforme au RGPD.

La première action consiste à créer un registre des activités de traitement des données.

Ce document va vous permettre de recenser l’ensemble des fichiers et de bénéficier d’une photographie précise de l’ensemble des données actuellement détenues par votre entreprise.

Après avoir identifié les activités qui nécessitent un traitement comme par exemple la gestion des clients, les processus de formation ou encore le recrutement, vous allez pouvoir créer, pour chacune de ces activités, une fiche spécifique intégrant un certain nombre d’informations précises. Ainsi la fiche « gestion des clients » contiendra les informations liées aux données clients, aux personnes ayant accès à ces données, à leur durée de conservation ainsi que les moyens mis en œuvre pour assurer la sécurité de ces données.

L’élaboration de ces fiches va également permettre de hiérarchiser les différentes problématiques RGPD que vous allez devoir traiter.

La seconde étape du processus consiste à faire le tri dans l’ensemble de vos données. Il est en effet indispensable de ne conserver que celles qui sont réellement utiles à l’activité de votre entreprise.

Vous allez donc pouvoir passer en revue chacune des fiches activités afin de vous poser les questions suivantes :  

• Ces données sont-elles vraiment nécessaires à mon activité ?
• Quelles sont les personnes ayant accès à ces données ? Sont-elles habilitées à les consulter ?  
• S’agit-il de données sensibles ? Si oui, qui est habilité à traiter ces données ?
• etc. 

Notez qu’il est tout à fait possible de mettre en place des directives qui permettent d’archiver ou alors de supprimer automatiquement des données après un certain temps.   

La troisième étape consiste à s’assurer que les droits des personnes sont bien respectés par votre entreprise. En effet, une entreprise traite quotidiennement des données liées à ses clients, salariés, fournisseurs … et est tenue à une obligation de transparence et d’information à leur égard. Toutes ces personnes doivent être informées que leurs données vont être récoltées et doivent pouvoir y consentir.

Mais quels sont ces droits ? Avant ce Règlement, les utilisateurs bénéficiaient seulement de droits d’accès, de rectification et d’opposition. Ces droits ont largement été renforcés suite à l’introduction du droit à la limitation du traitement, du droit à l’oubli, du droit à la portabilité ou encore du droit à l’effacement des données.

En outre, les personnes concernées doivent pouvoir facilement exercer leurs droits. Ainsi, il ne doit pas être trop complexe pour les utilisateurs d’entrer en contact avec l’entreprise : vous pouvez par exemple insérer sur votre site un numéro/adresse mail spécifique dédiée.

Il faudra également prendre le temps de sensibiliser vos salariés et collaborateurs à ces questions de RGPD en rédigeant par exemple une charte de bonnes pratiques qui aura vocation à rappeler l’ensemble des bonnes pratiques mais également les sanctions en cas de non-respect des obligations RGPD. Il peut également être intéressant de proposer à vos salariés des séances de formations. Sachez par exemple que jusqu’en septembre 2021, vous pouvez participer à la formation gratuite en ligne de la Cnil sur le RGPD.

Pensez également à vérifier si vos sous-traitants sont conformes aux règles du RGPD. En vertu du principe de co-responsabilité entre l’entreprise et ses sous-traitants, le dirigeant d’une entreprise est directement responsable de l’usage qui est fait, par ses sous-traitants, des données fournies. Il est donc nécessaire d’encadrer ce partage de données dans un contrat et être toujours vigilant à ce qu’ils respectent bien leurs obligations en matière de sécurité et de confidentialité.

Enfin, vous allez également devoir assurer la sécurité des données que vous traitez. Plus les données traitées par votre entreprise sont sensibles, plus il vous faudra être diligent quant aux mesures prises. Afin d’évaluer le niveau de sécurité que vous offrez au traitement des données, interrogez-vous sur les points suivants :

• Est-ce que les antivirus sont régulièrement mis à jour ?
• Est-ce que les mots de passe sont ponctuellement modifiés ? Vos salariés usent-ils d’applications générateurs de mots de passe ?
• Les locaux de votre entreprise sont-ils suffisamment protégés ?
• Est-ce qu’il existe une procédure permettant de sauvegarder les données et les récupérer en cas de d’incident (comme un piratage informatique par exemple) ?

En effet, dans le cas où la sécurité accordée au traitement des données est insuffisante, les conséquences pour les personnes dont les données ont été perdues ou divulguées peuvent être très lourdes. Dans le cas par exemple d’une entreprise livrant des biens à domicile, l’internaute peut devoir rentrer des informations liées à son domicile (adresse, codes) ou à sa carte bancaire et cela peut avoir de très graves conséquences dans le cas où ces données venaient à être perdues/volées.

En cas de violation de vos données, pensez à alerter la Cnil dans les 72 heures suivant la violation (cette démarche peut s’effectuer directement en ligne, sur le site de la Cnil).

3. Les sanctions en cas de non-respect des règles RGPD

Ainsi, les droits des personnes doivent impérativement être respectés sous peine de faire l’objet de sanctions. C’est la Cnil qui veille au respect par les entreprises de leurs obligations et celle-ci n’hésite pas à imposer des sanctions très dissuasives en cas de non-respect des règles RGPD dont le montant peut aller jusqu’à 4% du chiffre d’affaires de l’entreprise.

En outre, ceux dont les droits n’ont pas été respectés peuvent demander des dommages et intérêts à l’entreprise. Ainsi, en plus d’un impact financier très important, la violation des obligations RGPD peut nuire gravement à la réputation de l’entreprise,  engendrer une perte de confiance de la part de ses clients et entraîner dans certains cas la fermeture de l’entreprise.  

4. Les avantages du RGPD : quels sont-ils ?

Certes, la procédure de mise en conformité RGPD peut apparaître lourde et coûteuse aux yeux des petites et moyennes entreprises. Pourtant, les avantages à respecter les dispositions RGPD sont nombreux. En effet, si devoir se conformer au RGPD est tout d’abord une obligation légale, cette mise en conformité constitue également une opportunité économique pour votre entreprise.

La mise en conformité de votre entreprise va participer à renforcer la relation de confiance avec vos différents interlocuteurs. En effet, en respectant les droits des personnes en matière de RGPD, l’entreprise montre qu’elle est sérieuse et responsable.  C’est également une procédure visant à rassurer vos clients et donneurs d’ordre (toujours plus regardants sur l’usage qui est fait de leurs données). Ceci vous confère un avantage concurrentiel indéniable, tout en permettant le développement de votre activité. Ainsi, assurer un traitement efficace, rapide et surtout transparent permet de renforcer la confiance, d’assurer une bonne stabilité des relations clients et d’éviter une publicité négative notamment sur les réseaux sociaux, ce qui peut coûter très cher à l’entreprise en termes d’image de marque.  

La bonne gestion des données personnelles de vos utilisateurs et le respect des process participent également à un gain de productivité et une meilleure efficacité commerciale. 

En ne collectant que les données dont vous avez besoin, vous pourrez alors identifier quels sont vos besoins réels et cibler vos investissements.

Enfin, la mise en conformité aux règles RGPD permet de renforcer la sécurité des données de votre entreprise et donc de votre patrimoine informationnel.

Les enjeux liés au RGPD peuvent donc avoir des avantages pour l’entreprise. A l’inverse, en cas de non respect, les conséquences peuvent être très lourdes.  Un avocat spécialisé en droit des nouvelles technologies sera le plus à même de vous conseiller sur la meilleure stratégie à adopter pour assurer la mise en conformité de votre entreprise avec le RGPD.