PME : COMMENT SE METTRE EN CONFORMITÉ AVEC LE RGPD ?

Le Règlement européen de protection des données entre en vigueur le 25 mai 2018 et nombreuses sont les petites et moyennes entreprises à s’en inquiéter. La Commission nationale informatique et libertés (CNIL) a tenu à les rassurer en publiant un guide à leur intention. Le point en quatre questions.

RGPD la date approche
Temps de Lecture : 3 minutes

Quels changements apporte le RGPD dans la protection des données ?

En préambule, il faut rappeler qu’une grande partie du Règlement européen est directement inspirée de la loi informatique et libertés de 1978 déjà en vigueur en France. Les grands principes en matière de gestion des données personnelles sont donc déjà connus des entreprises.

Ceci étant, le RGPD introduit quelques nouveautés : d’abord, sa mise en œuvre vient harmoniser la protection des données au niveau européen – supprimant ainsi au passage une distorsion de concurrence entre les entreprises des différents Etats membres de l’UE.

Surtout, le RGPD apporte un changement de paradigme quant à la façon d’aborder la protection des données : au lieu d’un régime déclaratif, l’entreprise devra adopter une attitude proactive, en créant des processus documentés du traitement (collecte, utilisation, stockage) des données en sa possession. C’est ce que le règlement traduit par la notion de Accountability : l’entreprise doit démontrer qu’elle a mis en place une gouvernance des données personnelles.

Le RGPD met finalement en lumière la nécessité pour toutes les entreprises d’agir de façon responsable et transparente dans la gestion des données personnelles : un impératif à l’heure où 85 % des consommateurs européens se préoccupent de la protection de leurs données selon une étude de l’institut CSA.

Lire aussi l’article de La Voix du Nord « Les entreprises doivent se mettre en règle ».

Qu’appelle-t-on une donnée personnelle ?

Le RGPD donne une définition très large des données personnelles. Il s’agit de « toute information se rapportant à une personne physique identifiée ou identifiable ». Et attention, une personne peut être identifiée directement (par son nom par exemple), mais aussi indirectement (un numéro de téléphone), à partir d’une seule donnée, ou grâce à un recoupement d’informations (entre la date de naissance et l’adresse par exemple, etc.). Ainsi, une base de données marketing, qui comprend souvent de nombreuses informations comme l’adresse, les préférences et les comportements des personnes, est considérée comme un traitement de données personnelles s’il est possible de retrouver une personne physique précise sur la base des informations qu’elle contient.

Le RGPD peut-il être une opportunité pour les entreprises ?

Oui. Le guide de la CNIL, publié avec BPI France, liste six avantages pour les entreprises à se mettre en conformité avec le RGPD :

– créer plus de confiance avec ses parties prenantes, clients, sous-traitants, fournisseurs, etc.

– générer davantage d’efficacité commerciale

– assurer une meilleure gestion des données de l’entreprise

– assurer une meilleure sécurité des données de l’entreprises

– rassurer ses clients

– et pourquoi pas, créer de nouveaux services.

Outre un effet certain sur l’image de marque de l’entreprise, en termes d’éthique et de valeurs, déployer une démarche de mise en conformité avec le RGPD peut aussi être l’occasion pour l’entreprise de se lancer dans un projet transversal et structurant pour ses équipes, tout en optimisant sa sécurité informatique globale.

Se mettre en conformité avec le RGPD, par où commencer ?

Quelques premières étapes peuvent être lancées rapidement :

– désigner un pilote qui sera chargé de mener la mise en conformité

– réaliser un inventaire de tous les traitements de données personnelles dans l’entreprise et formaliser ces traitements dans un registre

– vérifier, pour chacun de ces traitements, que les principes fondamentaux du traitement des données à caractères personnelles s’appliquent (voir encadré ci-dessous)

– créer des processus qui permettent aux personnes d’exercer leurs droits sur leurs données.

Il faudra ensuite également s’assurer que les contrats passés avec ses clients ou sous-traitants intègrent des clauses relatives à la protection des données.

Les six principes à respecter dans le traitement des données

– la licéité : les données à caractère personnel doivent être traitées de manière licite, loyale et transparente
– la finalité : les finalités de la collecte doivent être explicites et légitimes ; il n’est pas possible de collecter des données sans un but précis
– la minimisation des données : il n’est possible de collecter que les données nécessaires au regard des finalités annoncées
– l’exactitude : les données doivent être tenues à jour si nécessaires, et rectifiées quand elles sont inexactes
– la durée limitée de conservation : la durée de conservation ne doit pas excéder celle nécessaire à la finalité annoncée. La CNIL considère par exemple que des données marketing peuvent être conservée jusqu’à trois ans à compter du dernier contact avec le client. Ce temps peut être plus court ou plus long selon les secteurs d’activités : dans tous les cas il doit être documenté et justifié. Ce principe a pour corollaire vertueux de permettre aux entreprises de tenir des bases de données beaucoup plus qualifiées
– l’intégrité et la confidentialité : les données doivent « être traitées de façon à garantir une sécurité appropriée des données à caractère personnel ». L’entreprise doit prendre toutes les mesures techniques et organisationnelles appropriés pour éviter la destruction, la perte ou le traitement non autorisé ou illicite des données. Très concrètement, il s’agit de prévoir des sécurités informatiques assez classique (antivirus, pare-feu) et des sécurités physiques (placards fermés à clés pour les données papiers, etc.).

Ces grands principes sont tirés de l’article 5 du RGPD

Pour en savoir plus :

– La CNIL propose de nombreuses informations et ressources sur son site internet pour se préparer au RGPD

– Consulter le guide CNIL-BPI à destination des PME.