RGPD : qui est concerné ?

Consulter un avocat spécialisé en RGPD
Consulter un avocat spécialisé en RGPD
Maxime Wagner
Écrit par Maxime Wagner
Cofondateur de Captain Contrat, Maxime a débuté en analyse de risque financier et a évolué sur des enjeux d'innovation dans la distribution. Il est diplômé de Centrale Lille et l'ESSEC.
Vous avez encore des questions ? 🤔
Image des coach CaptainContrat
Posez-les gratuitement à l’un de nos coachs entrepreneuriaux.
Parler à un coach

L’Union européenne a adopté le 14 avril 2016 le règlement général sur la protection des données (RGPD). Ce règlement a pour objectif d’harmoniser les pratiques des entreprises au sein de l’Union européenne, notamment celles qui concernent l’utilisation des données personnelles des citoyens par ces entreprises. Le RGPD est obligatoire dans l’ensemble des 28 états membres depuis le 25 mai 2018. Tous les acteurs ayant recours à des données personnelles doivent se conformer à ce règlement européen.

Entrepreneur, dirigeant ou juriste d’entreprise, vous vous demandez si votre entreprise est concernée par la mise en conformité avec le RGPD ? Dans cet article, nous allons vous donner les clés pour vous aider à mieux vous repérer.

 

 

"Traitement" des données personnelles : de quoi s’agit-il ?

 

D’après le RGPD, les données à caractère personnel correspondent à « toute information se rapportant à une personne physique identifiée ou identifiable ». Il peut s'agir par exemple du nom, du prénom, d’une adresse postale ou d’une adresse électronique, d’une adresse IP, d’une photo, d’un numéro de carte d’identité ou encore d'informations bancaires. L'objectif du règlement : la protection de la vie privée des citoyens.

Ces données peuvent faire l’objet d’un traitement par les entreprises, c’est-à-dire d’une collecte, d’un stockage ou d’une utilisation par exemple. Il peut s’agir des données des salariés de l’entreprise, mais aussi de ses clients, fournisseurs, etc. Le règlement européen s’applique à tout traitement de données personnelles effectué par une entreprise sur le territoire français ou européen.

 

Qui est concerné par le RGPD ?

 

Deux critères permettent de distinguer les entreprises concernées par le RGPD. Le règlement s’applique à toute organisation effectuant un traitement de données personnelles :

  • Si cette organisation est établie sur le territoire de l’Union européenne ;
  • Ou si son activité cible directement des résidents européens.

Toutes les entreprises établies sur le territoire de l’Union européenne et qui stockent des données personnelles sont donc concernées (le stockage de données est une forme de traitement).

Peu importe que la collecte de données ne soit pas votre activité principale ou que la collecte soit effectuée pour le compte d’une autre entreprise.

Le RGPD s’applique quelle que soit la taille de votre entreprise, que vos interlocuteurs soient des entreprises privées ou des organismes publics, en B2B (activités entre professionnels) comme en B2C (activités avec des clients non professionnels) et quel que soit votre chiffre d’affaires annuel.

À noter que le règlement s’applique également aux sous-traitants de toute entreprise établie au sein de l’Union européenne, même si ces sous-traitants ne sont pas situés sur le territoire européen. Le RGPD prévoit un principe de coresponsabilité entre l’entreprise et ses sous-traitants pour les données remises par l’entreprise à ses prestataires.

Par ailleurs, le règlement s’applique pour le traitement de données de tout citoyen européen, indépendamment de sa nationalité. Même si les données sont stockées en dehors du territoire européen, toute activité ciblant un citoyen européen est soumise au RGPD.

Les rares exceptions qui échappent à l’application du RGPD sont les comportements privés, les activités mises en place pour la prévention d’infractions pénales et les activités protégeant les libertés et droits fondamentaux.

Les actions à mettre en place pour se mettre en conformité

 

Quelques actions simples peuvent être mises en place pour préparer la conformité avec le RGPD.

  1. Collecter uniquement les données pertinentes : les données indispensables pour atteindre votre objectif. Vérifier que vous avez bien le droit de collecter ces données et que les personnes concernées sont bien d’accord.
  2. Recenser les données : vous pouvez créer un registre pour recenser les données que vous possédez et vérifier que vous êtes en conformité avec le RGPD. C’est également l’occasion pour vous d’effectuer un tri de vos données.
  3. Être transparent : veillez à informer clairement les personnes dont vous collectez les données.
  4. Maîtriser l’utilisation des données collectées : veillez à ce que l’utilisation des données collectées soit encadrée et face l’objet d’un suivi.
  5. Sécuriser les données collectées et stockées : mettez en place des mesures de sécurité pour protéger les données collectées.
  6. Identifier et gérer les risques : suivant la quantité de données que vous collectez et suivant le caractère de ces données, identifiez les risques que cela présente afin de prendre les mesures de sécurité adaptées.

NB : Pensez également à mettre en conformité vos CGV avec le RGPD.

Tous les organismes traitant des données personnelles doivent tenir un registre des activités de traitement. Ce registre doit comprendre :

  • Les parties prenantes ;
  • Les catégories de données traitées ;
  • La destination des données, les personnes qui y accèdent et à qui elles sont communiquées ;
  • Le temps de conservation des données ;
  • Le type de sécurité attaché à ces données.

Les entreprises de moins de 250 salariés bénéficient d’une dérogation concernant ce registre. Elles ne sont tenues d'inscrire que les traitements de données non occasionnels, susceptibles de comporter un risque pour les droits et libertés des personnes, ou qui portent sur des données sensibles.

Par ailleurs, la désignation d’un Délégué à la Protection des données (DPO) est obligatoire pour tout organisme effectuant un traitement de données :

  • S’il s’agit d’un organisme du secteur public ;
  • Si les activités principales de l’organisme entraînent un suivi régulier et systématique des personnes à grande échelle ;
  • Si les activités principales de traitement à grande échelle concernent des données sensibles ou relatives à des infractions pénales.

Attention aux phases de recrutement, qui présentent nécessairement des formes spécifiques de collecte, d’utilisation et de stockage des données personnelles. Par exemple, lorsque votre entreprise reçoit un CV. Les règles du RGPD s’appliquent donc à tous les candidats. L’entreprise doit veiller à ce que les données collectées soient bien en lien avec le poste à pourvoir. Il faudra donc prévoir de supprimer les données des candidats non retenus, sauf s’ils acceptent de figurer au sein de votre base de données pour une durée maximale de deux ans.

Quand aux données partagées avec vos sous-traitants, vous aurez besoin de vous assurer que ces derniers respectent des obligations spécifiques en matière de sécurité, de confidentialité et de suivi de leur activité. Notez qu’ils ont également une obligation de conseil envers leurs clients, et devront vous aider lors de la mise en œuvre des obligations du RGPD. Vous avez tout intérêt à rédiger un contrat avec vos sous-traitants afin d’organiser ce partage de données.

Enfin, soyez particulièrement vigilant si votre entreprise traite des données "à risque" :

  • Les origines ethniques ;
  • L’état de santé ;
  • L’orientation sexuelle ;
  • Les opinions politiques ou religieuses ;
  • L’appartenance syndicale ;
  • Les informations génétiques ou biométriques.

Ce type de données requiert une attention toute particulière : vous aurez à conduire une analyse d’impact sur la protection des données avant de commencer toute opération de traitement.

Ne prenez pas de risques sur le RGPD : faites-vous assister par des professionnels compétents

 

Simplifiez-vous la vie et opter pour une solution sure et pratique : choisissez l'accompagnement juridique Captain Contrat afin de vous mettre en conformité et d’adopter la meilleure stratégie de gestion des données à caractère personnel.

 

Besoin d’aide ?

Tatiana - photo rappel sales (blog)
Nos coachs entrepreneuriaux sont à votre écoute
Besoin de conseils sur votre projet ? De poser toutes vos questions de vive-voix ? Contactez-nous 🙂
Prendre un rendez-vous

Tous les articles similaires

Consultez nos articles pour parfaire vos connaissances

5 min
RGPD : quelle est la procédure de sanction ?

Mais que se passe-t-il en cas de non-respect du RGPD ? Quelles sont les sanctions susceptibles d’être prononcées à l’égard des responsables de traitement qui ne respecteraient pas ses dispositions ?

5 min
L'éditeur de logiciel Saas face au RGPD, par Me Znaty

Quel est l'impact du RGPD sur l'éditeur Saas ? Quel est le statut de l'éditeur Saas face au RGPD : responsable de traitement ou sous-traitant ? Me Znaty répond à toutes ces questions.

5 min
Règlement général sur la protection des données (RGPD) : quel impact sur les conditions générales de vente (CGV) ?

La mise en conformité au RGPD implique de nombreuses mesures, notamment sur la rédaction des CGV. Mais les CGV e-commerce ne sont pas les seules visées : mentions légales, cookies, politique de confidentialité sont également indispensables pour votre site. Me Lefroy vous guide

5 min
La clause de confidentialité dans le contrat de travail

La clause de confidentialité permet de garantir qu'un salarié ne divulguera pas d'informations qui peuvent être vitales pour l’organisation d'une entreprise

5 min
Accord de confidentialité : pourquoi et comment le rédiger ?

L'’accord de confidentialité est un des outils phares de la protection d’information et du secret professionnel. Dans quel cas doit-on le signer ?

4 min
Les limites de la protection des données personnelles du salarié

Quelles sont les limites à la protection des données personnelles du salarié ? Sous quelle conditions l'employeur peut-il collecter ces informations ?

5 min
Violation de données personnelles en entreprise : comment réagir ?

Votre entreprise fait face à une violation de données personnelles ? Une faille ? Comment faire ? Me Benjamin Znaty vous livre les étapes à respecter pour identifier, corriger et notifier ces failles.

5 min
Qu’est-ce qu’une charte/politique de confidentialité ?

Une politique de confidentialité est un document ou un contrat qui expose les engagements de l’entreprise en matière de traitement des données personnelles des utilisateurs. Obligatoire dans le cadre de la conformité RGPD, Me Camille Mirabel Chambaud décrypte le sujet

2 min
Qu’est-ce que la charte des données personnelles d’un site internet ?

Lorsqu’un site internet requiert des informations personnelles de ses utilisateurs, la rédaction d'une charte des données personnelles est vivement conseillée.

Vous avez démarré un dossier de chez nous… Vous pouvez le reprendre dès maintenant !

Reprendre votre dossier