RGPD : Obligations des PME en matière de protection des données

Qui est concerné par le RGPD?

Le RGPD s’applique à toute entreprise traitant des données à caractère personnel (DCP) concernant des personnes résidant sur le territoire de l’UE, que l’entreprise soit établie ou non dans l’UE.

 Le RGPD s’applique aux responsables du traitement des données et à leurs sous-traitants.

Le responsable du traitement est considéré comme acteur économique responsable. C’est à lui de prendre les mesures techniques et organisationnelles visant à garantir le respect de la règlementation. Il n’a plus à déclarer son traitement, ni à solliciter une autorisation préalable. En revanche, il se doit de tout documenter. (source : lemagIT)

Les responsabilités sont partagées et davantage précisées entre le responsable du traitement et le(s) sous-traitant(s). À titre d’exemple, si une personne concernée par un traitement de données subit un dommage parce que le règlement n’a pas été respecté, celle-ci pourra se retourner contre le responsable du traitement, et/ou contre le sous-traitant. En effet, ils sont tenus solidairement responsables du dommage subi par la personne. (source : 1819)

Que sont les données à caractère personnel ?

Il s’agit de toutes les informations concernant une personne physique identifiée ou identifiable, y compris les données personnelles indirectes (ex : identifiants et mots de passe).

Le RGPD s’applique aux traitements des données personnelles, qu’ils soient automatisés ou non. Chaque entreprise, petite ou grande, traite des données à caractère personnel (données des employés, base de données clients et prospects, listes de mailing, données comptables, CV de candidature, etc.)

Quotidiennement, vous transmettez des renseignements personnels au monde extérieur : en demandant une carte de fidélité au supermarché, en vous inscrivant à un cours de danse ou en participant à un concours … Vous n’avez, en général, aucun contrôle sur ce qu’il advient de toutes ces données. (Innovatec)

Ce qui change : droits étendus pour les personnes

Grâce à ce nouveau réglement les personnes reprennent le contrôle de leurs données personnelles. Elles bénéficient de nouveaux droits : 

• Droit d’accès : chacun doit pouvoir accéder à ses données et obtenir rapidement les informations demandées.
• Consentement : chacun doit donner son accord explicite et accepter le traitement de ses données à caractère personnel. 
• Droit à l’oubli : chacun peut exiger que ses données soient supprimées ou refuser qu’elles soient diffusées ou traitées.
• Droit à la portabilité : chacun peut disposer de ses données et les transmettre à qui il le souhaite (ex : changement de banque, d’opérateur téléphonique, etc.)
• Profilage et automatisation : chacun a le droit de refuser un traitement automatisé de ses données (segmentation marketing, retargeting, etc.)

Nouvelles obligations pour les entreprises

Chaque entrepreneur est responsable des données qu'il traite. Il doit protéger les droits des personnes qui lui communiquent leurs données. Cela induit un certain nombre d’obligations.

La base : protection et transparence

• Communication : obligation d’expliquer clairement pourquoi vous traitez les données, combien de temps elles seront stockées et dans quel but.
• Notification en cas de risque : vous devez avertir les Autorités de protection des données en cas de fuite de données.
• Privacy by default : par défaut, vous devez disposer d’un système d’information sécurisé afin de garantir la sécurité et la confidentialité des données traitées.
• Privacy by design : vous devez tenir compte du respect de la vie privée dès la conception de nouveaux produits et services.

La gouvernance : documenter et prouver

On parle beaucoup de « responsabilisation » (accountability) des entreprises. C’est à l’entreprise de prouver qu’elle est conforme à la nouvelle réglementation. Nouveauté : cela concerne aussi les sous-traitants (qui sont tenu de respecter les mêmes règles même s’ils ne sont pas implantés dans un pays européen).

En fonction du type de données traitées, vous devrez tenir un registre. Celui-ci n’est obligatoire que si le traitement des données est régulier ou s’il s’agit de données dites sensibles.

En fonction de la taille de l'entreprise, il y aura lieu de nommer un délégué à la protection des données (DPO). Mais ceci ne s’applique qu’aux entreprises de plus de 250 personnes. 

La prévention : analyse d'impact

5. Comment se mettre à jour ?

La régmementation du RGPD est en vigeur depuis plusieurs années maintenant. Si vous n'avez pas encore de mesures pour le traitement de données personnelles ou si vos mesures sont incomplètes, voici quelques conseils pour se mettre à jour. Face à cette réglementation, chaque entreprise doit avoir une attitude proactive et prendre toutes les mesures pour protéger les données personnelles traitées.

1. Cartographier : les données et leur utilisation
2. Sensibiliser : les collaborateurs concernés, désigner un pilote le cas échéant.
3. Minimiser : n’utiliser que les données nécessaires, limiter le stockage et gérer l’obsolescence
4. Analyser et gérer les risques : mettre en place des mesures pour protéger les personnes
5. Sécuriser et organiser : restreindre l’utilisation et assurer la confidentialité des données
6. Documenter et gouverner : disposer d’une documentation démontrant que vous respectez les obligations prévues et assurer la conformité à long terme.

Plusieurs outils ou technologies peuvent aider à améliorer le traitement des données :

• anonymisation ou pseudonymisation des données,
• chiffrement de fichiers, processus de suppression,
• protection opérationnelle des données (détection des failles, gestion des incidents, contrôle d'activité des utilisateurs et des administrateurs, etc.),
• gestion du cycle de vie (records management), archivage, suppression sécurisée, etc.

Plusieurs organismes ont préparé des documents pour vous guider dans vos démarches. 

• Data Protection Guide for Small Business - guide par European Data Protection Board (en anglais)
• RGPD : passer à l'action – Outils et recommandations par la CNIL

Par qui vous faire aider ?  Où trouver des réponses à vos questions ?

• En Belgique : sur le site des Autorités de Protection des données
• En France : sur le site de la CNIL

Pour aller plus loin

TEXTE COMPLET DU RÈGLEMENT (UE) 2016/679)

• Sur le site de l’Union Européenne
• Sommaire & texte complet sur le site de la CNIL