Nous contacter.
02 52 35 24 54
Depuis sa mise en application le 25 mai 2018, le RGPD, ou Règlement Général sur la Protection des Données, permet de réglementer le traitement des données à caractère personnel des citoyens, de renforcer leurs droits et de responsabiliser les acteurs traitant les données.
Au sein d’une entreprise, la collecte et l’utilisation des données est quotidienne. Elles concernent à la fois les clients, mais également les collaborateurs, les fournisseurs ou encore les sous-traitants. Les organisations doivent donc s’assurer de leur conformité RGPD.
À quel type d’entreprise le RGPD s'applique-t-il ?
Le RGPD s’applique à toutes les entreprises, quelle que soit leur taille ou leur secteur d’activité, dès lors :
- qu’elles sont établies sur le territoire de l’Union Européenne.
- Ou bien qu’elles sont implantées en dehors de l’UE mais qu’elles proposent des services ou des biens à destination des résidents européens.
Néanmoins l’application du RGPD se module selon les finalités du traitement des données et des risques potentiels.
Ainsi pour les TPE ou PME dont l‘activité de base n’est pas le traitement des données à caractère personnel, ou que l’activité n’engendre aucun risque pour la sécurité des données, alors les directives imposées par le RGPD seront amoindries par rapport à une grande entreprise. Par exemple, la nomination du DPO peut ne pas être obligatoire.
Quelles sont les obligations des PME en matière de protection des données à caractère personnel ?
La mise en conformité RGPD d’une PME passe par la mise en place de toutes les mesures nécessaires permettant de collecter et de traiter les données en répondant aux exigences de cette nouvelle directive.
En voici les grandes étapes :
L’état des lieux grâce à l’audit RGPD
L’audit RPGD correspond à l’analyse du traitement des données au sein d’une organisation afin de cibler ses faiblesses et d’apporter des solutions concrètes.
En d’autres termes, l’audit RGPD a pour objectif :
- d’évaluer l’avancement des actions de protection des données déjà mises en place (les types d’actions et leur efficacité),
- de cibler les manquements au RGPD,
- d’établir un plan d’action pour la mise en conformité.
La mise en place du registre de traitement des données
Parmi les nombreux principes qui régissent le RGPD, l’accountability joue un rôle essentiel dans la mise en conformité. Il a pour objectif de démontrer que la collecte des données par l’entreprise respecte les obligations légales.
C’est dans cette optique qu’a été mise en place la création du registre de traitement des données.
Il s’agit d’un registre qui inventorie et analyse l’ensemble des données à caractère personnel traitées par l’entreprise : noms et coordonnées des acteurs du traitement, finalité du traitement, bases légales, type de données récoltées etc.
En cas de contrôle de votre TPE ou PME par la CNIL, le registre vous permet de démontrer votre bonne foi.
Notez qu’il est indispensable de ne collecter que les données dont la finalité est nécessaire pour votre activité. Plus vous collectez de données indispensables pour votre fonctionnement, plus il sera aisé de les traiter dans un cadre légal défini par le RGPD. On parle ici de minimisation des données.
La sécurisation des données
Une fois les données collectées, le responsable de traitement de l’entreprise doit mettre en œuvre toutes les mesures techniques ou organisationnelles nécessaires pour garantir un niveau de sécurité adapté face aux risques.
Lorsque le traitement est passible d’occasionner des risques pour les droits fondamentaux et libertés des personnes concernées, l’entreprise se doit de réaliser une AIPD, ou Analyse d’impact relative à la protection des données (PIA en anglais).
En cas de violations avérée, le responsable de traitement doit en notifier dans les meilleurs délais :
- à l’autorité de contrôle compétente
- voire aux personnes concernées selon la situation
La sensibilisation de vos collaborateurs, une première étape
Vos collaborateurs doivent avoir conscience des enjeux de la sécurité des données à caractère personnel, afin de les impliquer pleinement dans votre démarche de mise en conformité. Sans ça, cela n’a pas de sens.
La sensibilisation est donc une première étape majeure pour leur expliquer en quoi consiste le RGPD et quels sont les bons réflexes à adopter avant d’arriver à une acculturation.
Cela peut consister à faire circuler des notes d’information interne, ou à réaliser des réunions d’information par exemple.
Besoin d’être accompagné dans la mise en conformité RGPD de votre TPE / PME ?
Contactez AP3R Consulting, votre cabinet de conseil RGPD Angers et dans tout le grand Ouest.