Le RGPD : Nouvelles contraintes de gestion et sécurisation des données personnelles

Le 25 mai 2018 est entré en vigueur le Règlement européen sur la protection des données (RGPD), imposant aux entreprises de revoir en profondeur leur mode de création et d’administration des fichiers qui contiennent des données à caractère personnel.

Ce nouveau cadre européen s’applique à toutes les organisations publiques, privées ou associatives, dans tous les secteurs sur la gestion des données personnelles relative aux citoyens de l’Union Européenne.

 

RGPD : les TPE-PME sont-elles concernées ?

En ce qui concerne la protection des données personnelles, les petites entreprises sont concernées au même titre que les grandes ! En effet, toutes les entreprises doivent se mettre en conformité avec cette nouvelle réglementation, quel que soit leur taille et leur secteur d’activité. Les organisations publiques, collectivités territoriales, et associations sont également concernées.

Ainsi, les TPE devront être en capacité de démontrer à tout moment qu’elles respectent les principes relatifs aux traitements des données personnelles.

Elles devront également revoir leurs relations contractuelles donneur d’ordre / sous-traitants et veiller à une plus grande sécurité des données.

 

Qu’est-ce qu’une donnée personnelle ?

 

Le RGPD s’applique à toutes les entreprises qui collectent ou traitent des données personnelles, c’est-à-dire des informations qui permettent d’identifier les personnes auxquelles elles se rapportent (nom, prénom, adresse, mail, téléphone,localisation)

Le traitement de ces données peut être numérique ou sous format papier.

 

Quelles sont les nouvelles obligations en matière de gestion des données personnelles ?

Avec la mise en application de la RGPD, le régime déclaratif de la CNIL est abandonné au profit de la responsabilité de l’entreprise qui définit sa propre politique de protection des données, documente et trace ses processus.

Pour respecter cette nouvelle réglementation, les TPE-PME devront se plier à des actions telles que :

  • La mise en conformité contractuelle et juridique,
  • La gestion du statut de "sous-traitant" s'il est constaté, et ce afin de rassurer les clients concernés,
  • La mise en place de toutes les mesures techniques et organisationnelles visant la protection des données à caractère personnel,
  • La nomination d'un délégué à la protection des données personnelles (Data Protection Officer). Cette fonction peut être externalisée ou mutualisée.
  • La mise en place d'une gouvernance adaptée (procédures et rôles),
  • La gestion récurrente du plan de mise en conformité.

 

RGPD : quelles sont les sanctions encourues ?

L’article du RGPD stipule que des sanctions seront délivrées pour toute violation du RGPD.

Les amendes peuvent s’élever à 20 000 000 d’euros ou dans le cas d’une entreprise à 4% du chiffre d’affaires mondial total de l’exercice précédent. Le montant des amendes sera variable selon la nature, la gravité et la durée de la violation et compte tenu de la portée ou de la finalité du traitement concerné, ainsi que du nombre de personnes affectées et le niveau de dommage qu’elles ont subi. Le degré de responsabilité du responsable de traitement ou du sous-traitant est également pris en compte ainsi que les différentes mesures techniques et organisationnelles déjà mises en place pour assurer la conformité de la société.

 

TPE : comment se mettre en conformité avec le RGPD ?

La mise en conformité est un travail complexe pour les TPE car plusieurs fonctions sont concernées :

Les ressources humaines ou la personne en charge de la gestion sociale qui centralisent les données personnelles des salariés (y compris les candidats aux offres d’emplois), et qui ont la responsabilité de conserver ou supprimer ces données en cas de départ ;

Les outils informatiques qui répertorient les données des clients et des fournisseurs ;

Les contrats qui doivent tenir compte des questions de protection des données personnelles

 

Pour vous aider, La CNIL a mis en ligne un guide à destination des TPE-PME sur le RGPD 

https://www.cnil.fr/fr/rgpd-passer-a-laction