Toute organisation, qu’elle soit publique ou privée, a l’obligation d’appliquer le RGPD si elle traite des données à caractère personnel. Découvrez les étapes à suivre pour respecter le RGPD au sein de votre entreprise.
Quelles entreprises doivent appliquer le RGPD ?
Une obligation pour les organismes traitant des données
Le Règlement général sur la protection des données (RGPD), ou General data protection regulation (GPDR) en anglais, concerne toutes les organisations traitant des données présentant un caractère personnel. Cela vaut toutefois uniquement pour les organismes et entreprises :
- installés au sein de l’Union européenne ;
- ayant une activité ciblant des résidents de l’Union européenne.
Par conséquent, le RGPD s’applique à toutes les entreprises, quelle que soit la nature de son activité ou son pays d’implantation, à partir du moment où elles traitent des données personnelles. Sont donc concernés les grands groupes, mais également les TPE, les PME et même les micro-entreprises.
L’objectif de mieux protéger les données personnelles
La bonne application du RGPD est constatée par la Cnil (Commission nationale de l'informatique et des libertés). Cette autorité administrative a pour mission d’accompagner les organisations dans la mise en œuvre du règlement et de vérifier son respect. Cette application sert 3 objectifs principaux :
- renforcer le droit des personnes sur leurs informations personnelles ;
- responsabiliser les organisations traitant des données sur les individus ;
- favoriser la régulation grâce à une meilleure coopération entre les autorités de protection des données.
Comment appliquer le Règlement général sur la protection des données ?
Comme le recommande la Cnil, la mise en œuvre du RGPD au sein de votre entreprise vous impose 4 premières démarches : créer un registre du traitement, trier les données, respecter les droits des personnes et sécuriser les données.
1. Créer un registre du traitement des données
Pour les entreprises, la première étape consiste à constituer un registre listant les différents traitements de données réalisés. Rendue obligatoire par l'article 30 du RGPD, cette démarche vous impose d'identifier les activités principales qui collectent et traitent des données : le recrutement, la relation commerciale, la gestion de la paie ou encore la communication.
Vous devez créer une fiche pour chaque activité identifiée au sein du registre. Pour chaque fiche, vous devez ensuite préciser plusieurs informations, dont :
- l'objectif du traitement des données (gérer la paie par exemple) ;
- les catégories des données utilisées (l'identité et le salaire des salariés pour la gestion de la paie par exemple) ;
- les personnes ayant accès aux données traitées (le gestionnaire paie par exemple) ;
- la durée de conservation des données (5 ans pour les bulletins de paie par exemple).
Une fois créé, le registre est placé sous la responsabilité du dirigeant de l'entreprise. Vous devez également l'actualiser régulièrement en fonction des évolutions de l'activité. L'objectif : avoir une vision globale et à jour de vos opérations de traitement des données.
Bon à savoir : la Cnil met à votre disposition plusieurs modèles de registre pour simplifier sa mise en œuvre au sein de votre entreprise.
2. Trier les données personnelles traitées
La seconde étape consiste à ne conserver que les données utiles pour votre activité et à supprimer toute information superflue. Dans cette optique, vous devez vérifier plusieurs éléments pour chaque fiche créée au sein du registre.
- Les données sont nécessaires : vous devez vous assurer que les données que vous traitez sont nécessaires à vos activités. Par exemple, il n'est pas utile de savoir la date de naissance d’un client si vous ne proposez aucun service en lien avec cette information.
- Les données ne sont pas à risque : vérifiez également que les données traitées ne sont pas dites « sensibles ». C'est notamment le cas de celles portant sur les opinions politiques ou religieuses, l'orientation sexuelle ou encore la santé d'un individu. Si vous traitez de telles informations, vous devez vous assurer que vous avez bien le droit de le faire.
- L'accès aux données : assurez-vous que seules les personnes habilitées à utiliser les données y ont accès. Par exemple, le gestionnaire de la paie doit avoir accès aux données relatives aux salaires, mais pas aux informations relatives aux clients.
- La durée de conservation : vous devez vérifier que les données personnelles sont conservées uniquement le temps nécessaire à l'atteinte de l'objectif défini. Cette durée dépend de la nature de l'information et de son usage. À l'issue de la période définie, les données doivent être archivées ou supprimées.
Lors du tri des données, vous devez faire en sorte d'améliorer vos pratiques. Pour cela, vous pouvez notamment réduire le nombre d'informations collectées, restreindre l'accès aux données ou encore déterminer des durées automatiques d'archivage ou de suppression des données.
3. Respecter les droits des personnes
Les personnes dont vous traitez les données disposent de certains droits leur permettant de conserver la maîtrise des informations les concernant. Dans le cadre de votre activité, vous devez donc faire en sorte de respecter ces droits afin d'être conforme au RGPD.
- Le droit à l'information : avant toute collecte de données, vous devez informer les individus sur la finalité de la collecte, l'identité du responsable du fichier, les destinataires des informations collectées ou encore les droits dont ils disposent (accès, rectification, etc.).
- Le recueil du consentement : après avoir informé la personne, vous devez obtenir son consentement avant de pouvoir collecter et utiliser ses données. Pour cela, l'utilisateur doit consentir de manière libre et informée, notamment en cochant une case dans un formulaire en ligne par exemple.
- Le droit d'opposition : les individus doivent avoir la possibilité de s'opposer à la réutilisation de leurs informations pour des motifs légitimes. Le plus souvent, cela leur permet d'interdire que leurs données soient utilisées dans l’optique qu’un tiers les sollicite.
- Le droit d'accès et de rectification : les individus doivent pouvoir accéder à toutes les informations les concernant, connaître l'origine de la collecte et obtenir une copie de ces données. Si nécessaire, ils peuvent également demander à ce que leurs informations soient modifiées, mises à jour ou supprimées. Pour cela, vous devez leur permettre d'exercer leurs droits par courrier postal et éventuellement en ligne.
- Le droit à la portabilité : les personnes dont vous disposez des informations doivent pouvoir vous demander de transmettre leurs données à un autre responsable de traitement. Le cas échant, leurs informations doivent être transmises dans un fichier numérique. Cela peut notamment intervenir lorsqu'un client change de prestataire (téléphonie, Internet, assurance, etc.).
4. Sécuriser vos données personnelles
L'entreprise est tenue de garantir la sécurité des données personnelles qu'elle détient sur les individus (clients, salariés, etc.). Dans l'optique de réduire le risque de perte ou de piratage des données, plusieurs mesures peuvent être adoptées à l'interne :
- mettre à jour les logiciels et antivirus ;
- utiliser des mots de passe complexes ;
- actualiser régulièrement les mots de passe ;
- restreindre l'accès aux données ;
- chiffrer les données ;
- sécuriser l'accès physique aux lieux où sont stockées les données ;
- créer une procédure de sauvegarde et de récupération des données en cas d'incident.
Malgré ces mesures, le risque zéro n'existe pas : vos données peuvent avoir été perdues, détruites, altérées, divulguées ou encore piratées. Dans ce cas, vous avez 72 heures pour signaler à la Cnil toute violation pouvant présenter un risque pour les droits et libertés des individus. Cette démarche doit être réalisée en ligne sur le site de la Cnil.
Quelles sanctions en cas de non-application du RGPD ?
En cas de manquement au RGPD, constaté à la suite d’un contrôle ou d’une dénonciation, la Cnil peut prononcer plusieurs sanctions à l’encontre de votre entreprise. Votre organisation peut notamment faire l’objet :
- d’un rappel à l'ordre ;
- d’une injonction de mise en conformité ;
- d’une astreinte maximale de 100 000 € par jour de retard ;
- d’une limitation ou d’une interdiction de traitement des données ;
- d'une perte de certification ;
- d’une amende administrative.
En cas d'infraction constatée par la Cnil, le montant de l'amende correspond au maximum à 20 millions d'euros ou à 4 % de votre chiffre d'affaires annuel mondial.
Lire aussi : Comment se déroule un contrôle de la CNIL ?