Rechercher
Fermer ce champ de recherche.
Rechercher
Fermer ce champ de recherche.

Partager
cet article

Se projeter

RGPD en entreprise : les TPE et PME également concernées !

Date de MAJ :

Anne SILBERZTEIN
Responsable juridique
6 min
RGPD en entreprise : quelles sont les obligations et comment être en conformité ?

Le RGPD (Règlement général de protection des données) est un règlement européen entré en vigueur en mai 2018 en France qui a renforcé les règles concernant les données personnelles traitées par les entreprises. Toutes les entreprises sont concernées, mais si les données personnelles ne sont pas au cœur de votre activité, les moyens à déployer pour vous mettre en conformité au RGPD ne seront pas très importants.

A partir de quand agir ? Comment se mettre en conformité ? Perspectives Conseils vous répond dans ce guide.

Table des matières

Qui est concerné par le RGPD ?

Toutes les entreprises sont concernées par ce règlement, quelles que soient leur taille ou leur activité, à partir du moment où elles traitent des données personnelles et qu’elles sont situées sur le territoire de l’Union européenne ou que leur activité cible directement des résidents européens.

Ce que vous devez savoir également :

Le RGPD concerne également les opérations en sous-traitance. Vous êtes donc concernés lorsque vous traitez des données personnelles sur instruction, par exemple si vous effectuez des opérations de prospection commerciale pour le compte de vos clients. Mais vous êtes également concerné par le RGPD en tant que responsable de traitement si vous choisissez de confier la gestion de vos données à des prestataires, comme les ESN ou les intégrateurs de logiciels.

Vous serez alors soumis à des obligations particulières.

Qu’est ce que sont les données personnelles ?

Selon le règlement, une donnée personnelle est une information qui permet d’identifier une personne physique directement ou indirectement.

Il s’agit par exemple :

  • D’un nom ou prénom
  • De son adresse
  • De sa date de naissance
  • De son numéro de sécurité sociale
  • De son numéro client
  • De son numéro de téléphone
  • De ses coordonnées bancaires
  • D’une donnée biométrique
  • D’éléments spécifiques propres à son identité physique, génétique, psychique, économique, culturelle ou sociale

Dès lors qu’il est possible de remonter à une personne physique déterminée, d’après une donnée ou un croisement de données, celles-ci sont considérées comme des données personnelles.

Vous êtes donc concernés par le RGPD dès lors que vous tenez un fichier client, ou que vous gérez des collaborateurs par exemple.

Les données personnelles à risques

Parmi ces données, certaines sont considérées comme présentant des risques particuliers. Ce sont les données « sensibles » :

  • L’origine prétendument raciale ou ethnique
  • Les opinions politiques, philosophiques ou religieuses ;
  • L’appartenance syndicale ;
  • La santé ou l’orientation sexuelle ;
  • Les données génétiques ou biométriques.

Les données de condamnation pénale font également l’objet de règles particulières et ne peuvent être utilisées que sous certaines conditions pour rester en conformité avec le RGPD.

Comment me mettre en conformité avec le RGPD ?

Si vous savez être concerné par le règlement, il est maintenant temps de passer à l’action.

Etablissez un registre des traitements des données personnelles

Ce registre obligatoire, parmi d’autres en entreprise est placé sous la responsabilité du dirigeant de l’entreprise. Il doit ainsi identifier les activités susceptibles de collecter des données : recrutement, paye, formation, gestion des clients prospects…

Pour chacune des ces activités doit être recensé :

–        L’objectif poursuivi de la collecteExemple : fidélisation client
–        Catégories de données utiliséesExemple : nom, prénom, date de naissance
–        Les personnes pouvant accéder aux donnéesExemple : chargé de recrutement, service informatique et partenaires
–        La durée de conservation des donnéesExemple : durée du CDD + 6 mois en archive

 

La CNIL vous propose un modèle de registre sur son site.

De plus, lorsque votre traitement a pour objet ou pour effet notamment de traiter des données personnelles sensibles, la notation ou l’évaluation d’une personne, des données concernant des personnes vulnérables (comme des mineurs), vous devez, a priori, conduire une analyse d’impact sur la protection des données, avant de commencer les opérations de traitement. Cette analyse vous permettra d’identifier les risques associés à ces données personnelles.

Les sous-traitants doivent eux tenir un registre des activités de traitement effectuées pour le compte de leurs clients en complément de leurs propres traitements. Pour déterminer les obligations respectives des responsables de traitements et de leurs sous-traitants, il est nécessaire de rédiger un contrat. Ce contrat doit prévoir une clause spécifique sur la protection des données personnelles. Des exemples de clauses sont disponibles sur le site internet de la CNIL.

Faites le tri dans vos traitements de données personnelles

Le principal objectif du RGPD est de garantir la maîtrise des données personnelles. Ainsi, pour chaque fiche de registre créée, vérifiez que les données que vous traitez sont nécessaires à vos activités, et que seules les personnes habilitées ont accès aux données dont elles ont besoin : c’est le principe de minimisation des données.

Informez et respectez les droits des personnes

A chaque fois que vous collectez des données personnelles, via formulaire, questionnaire, etc., celui-ci doit comporter certaines informations comme la finalité des données demandées, le temps de leur conservation ou les modalités selon lesquelles les personnes concernées peuvent exercer leurs droits. En effet, le RGPD a renforcé les droits des personnes sur leurs données personnelles : ils ont un droit d’accès, de rectification, d’opposition, d’effacement, à la portabilité et à la limitation du traitement.

En pratique, pour éviter les mentions trop longues, vous pouvez vous contenter de donner un premier niveau d’information qui renvoie à une politique de confidentialité, ou une page de votre site internet.

De plus, lorsque vous avez un site internet, vous avez l’obligation d’afficher un bandeau ou un pop-in dès l’arrivée du visiteur sur votre site afin qu’il choisisse les cookies qu’il souhaite laisser actifs.

Sécurisez les données personnelles

En fonction de la sensibilité des données traitées, pensez à sécuriser vos logiciels. Si vous constatez que des données personnelles que vous collectiez ont été divulguées, vous devez en principe le signaler à la CNIL dans les 72h. Vous pouvez effectuer la déclaration sur son site. Si les risques sont élevés pour les personnes concernées, vous devez également les prévenir de la perte de leurs données personnelles.

Désignez un délégué à la protection des données

Cette désignation n’est pas obligatoire pour toutes les entreprises. Elle l’est seulement lorsque vous traitez des données personnelles à grande échelle, avec des risques particuliers.

Ce délégué à la protection des données peut être désigné au sein de votre entreprise, ou en externe.

Il existe de nombreuses entreprises spécialisées en RGPD qui vous proposent des prestations de conseils ou de délégué à la protection des données. Rappelez-vous que vos sous-traitants ont déjà une obligation d’accompagnement et de conseils, et que le site de la CNIL est rempli d’informations.

Quels sont les risques de non-conformité au RGPD ?

En plus des risques pour les personnes concernées par le traitement de leurs données personnelles, il existe aussi des risques pécuniers pour vous, en tant que responsable de traitement.

En mars 2022, la CNIL a pu condamner un restaurateur n’ayant pas respecté le principe de minimisation des données à une amende de 10 000 €. Le refus de coopérer avec la CNIL peut lui aussi entraîner des amendes de plusieurs milliers.

Cette sanction peut survenir à la suite de plaintes sur le non-respect des droits liées à la protection des données personnelles, ou par auto-saisine de la CNIL. Le risque de plaintes des particuliers n’est pas négligeable, maintenant que le règlement est ancré dans notre quotidien. La CNIL en a reçu plus de 14 000 en 2022.

Si le manquement est avéré, il vous sera demander d’entreprendre des actions correctives. Si les actions ne sont pas suffisantes, une sanction pourra être prononcée.

Dans le cadre de la procédure simplifiée, dans des dossiers peu complexes ou de faible gravité, la CNIL peut vous sanctionner d’une amende d’un montant maximum de 20 000€, avec injonction de mettre le traitement en conformité avec astreinte plafonnée à 100 € par jour de retard. Ces sanctions ne sont pas rendues publiques.

Dans le cadre de la procédure ordinaire, le montant des sanctions pécuniaires peut s’élever jusqu’à 20 millions d’euros ou jusqu’à 4 % du chiffre d’affaires annuel mondial. Ces sanctions peuvent être rendues publiques.

Perspectives Conseils vous accompagne

Perspectives Conseils accompagne et informe les dirigeants d’entreprises de leurs obligations légales. Cela fait partie intégrante de notre accompagnement juridique. Suivez nos guides pour découvrir les registres obligatoires à tenir, ou contactez-nous pour profiter de la prise en charge de votre comptabilité et de nos nombreux conseils pour créer et développer votre entreprise.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ces articles peuvent vous intéresser
VOUS CONSEILLER

Perspectives Conseils est un cabinet d’expertise comptable et de conseils aux entreprises et dirigeants.

Aide à la création d’entreprise, comptabilité et fiscalité, optimisation du statut de dirigeant, conseils en gestion d’entreprise et de patrimoine … Nous accompagnons les entrepreneurs et entrepreneuses tout au long de l’année pour la réussite de leur activité.

Nos prestations fonctionnent au forfait ou par missions ponctuelles, selon la nature de votre besoin et l’intérêt de notre collaboration.

Présents pour chaque étape de votre vie de dirigeant
Pour aller plus loin
Perspectives Conseils expertise-comptable et conseils aux dirigeants
Perspectives conseils votre conseiller expert dans la création d'entreprise
Merci pour votre confiance !

Votre demande a été prise en compte. Vous serez contacté(e) d’ici 48H par votre conseiller