Mise en conformité RGPD

Notre offre d'accompagnement RGPD

Nous vous proposons un accompagnement sur mesure parfaitement adapté à votre besoin et votre situation, qui pourra inclure tout ou partie de la démarche de mise en conformité :

  • Diagnostic de conformité : cartographier et analyser les traitements de données personnelles, identifier les écarts, établir le plan d’actions et le chemin à parcourir jusqu’à la conformité.
  • Mise en conformité et pilotage : mise en place des mesures correctives, mise en place du registre des traitements, modification des processus internes et mise en place des nouvelles procédures, documentation de la conformité, sensibilisation des équipes.
  • Maintien de la conformité : mise en place des outils de suivi, accompagnement et conseil, DPO externalisé (délégué à la protection des données).
prestation d'accompagnement RGPD

L'essentiel à savoir sur le RGPD

C'est quoi le RGPD ?

Un règlement européen qui s’applique en France et dans tous les pays de l’UE depuis le 25 mai 2018. Il a pour objectifs de protéger les citoyens européens quant à l’utilisation de leurs données personnelles et de préserver leur vie privée, dans un monde de plus en plus numérique. Le RGPD définit les droits des personnes sur leurs données personnelles et les règles applicables aux organismes qui collectent et traitent ces données, à l’échelle de l’UE.

Qu'est-ce qu'une donnée personnelle ?

C’est une donnée permettant d’identifier un individu directement ou indirectement. Exemples : nom, prénom, email (une adresse professionnelle nominative est bien une donnée personnelle), n° de téléphone, photo, n° de sécurité sociale, adresse IP, numéro de plaque d’immatriculation… Donc, il faut sécuriser les supports et documents contenant ces données (fichiers, dossiers, bases de données, factures, devis, CV, fiches de paie…).

Mon entreprise est-elle concernée par le RGPD ?

OUI : toutes les entreprises, collectivités et associations qui traitent des données personnelles doivent se mettre en conformité avec le RGPD (Règlement Général sur la Protection des Données). Mon entreprise traite-t-elle des données personnelles ? Toutes les entreprises qui ont des salariés ou des clients (particuliers ou professionnels) traitent forcément des données personnelles d’une manière ou d’une autre.

Comment savoir si on est conforme ?

Si vous vous posez la question : vous ne l’êtes pas !
Vous avez peut-être déjà mis en place des mesures de sécurité, notamment informatiques. Cela facilitera votre démarche mais ce n’est pas suffisant. Au-delà de la vérification d’une liste précise d’obligations, vous devez pouvoir prouver et maintenir la conformité en mettant en place les procédures, les outils et les documents adéquats.

Quels sont les principaux traitements de données personnelles ?

Chaque entreprise doit identifier tous ses processus dans lesquels apparaissent des données personnelles. Les traitements les plus courants sont : gestion des clients et prospects, gestion du personnel, recrutement, paie, site internet (formulaire de contact, abonnement newsletter, base clients en cas de site marchand), gestion des fournisseurs, comptabilité, gestion des contentieux, badges et contrôle d’accès, gestion de la téléphonie, vidéosurveillance…

Comment se mettre en conformité ?

Il faut analyser les processus de l’entreprise où sont traitées les données personnelles et mettre en place les mesures de sécurité adéquates sur les plans technique, organisationnel et juridique. Il faut également mettre en place la documentation prouvant la conformité et les procédures permettant de maintenir la conformité. La complexité de la démarche est variable d’une entreprise à l’autre. Cela dépend de sa taille, de son organisation, de la quantité et du type de données traitées.

Et les traitements sous-traités ?

Le responsable du traitement et celui qui définit la nature et le but du traitement. En tant que chef d’entreprise, vous êtes responsable des traitements de données personnelles de votre entreprise, même si ceux-ci sont sous-traités (ex. comptabilité, paie, prospection, gestion du site internet, etc…). Vous devez en outre vous assurer que votre sous-traitant ou prestataire effectue le traitement que vous lui avez confié en conformité avec les dispositions du RGPD. Il faudra même signer des clauses contractuelles de sous-traitance spécifiques.

Quels sont les risques, les sanctions ?

La CNIL, autorité de contrôle pour la France, a fait preuve de tolérance pendant la première année pour laisser le temps aux organismes de se mettre en conformité. Aujourd’hui, le risque d’un contrôle vient davantage de plaintes même si la CNIL établit un programme thématique annuel (ex. la répartition des responsabilités entre responsables de traitement et sous-traitants en 2019). Les plaintes peuvent venir de clients, prospects, salariés, syndicats, associations… Les amendes pouvant aller jusqu’à 4% du CA sont imposées en complément ou à la place d’autres mesures correctives telles qu’un avertissement, un rappel à l’ordre, une limitation ou une interdiction du traitement. Les sanctions sont, dans chaque cas, effectives, proportionnées et dissuasives. La CNIL sanctionne davantage les carences et insuffisances dans les mesures de sécurité.

Quelles sont les principales obligations du RGPD ?

  • Mettre en place le registre des traitements.
  • Minimisation des données : seules les données strictement nécessaires au traitement sont collectées.
  • Prendre en compte le RGPD dès la conception d’un nouveau processus (Privacy by Design).
  • Respect des droits des personnes : consentement, information, accès, rectification, effacement, limitation, notification, portabilité.
  • Chaque traitement doit être licite en répondant à au moins 1 des 6 critères du règlement.
  • Assurer la sécurité des données : mesures organisationnelles et techniques pour éviter la destruction, la perte, l’altération ou la divulgation non autorisée des données.
  • Respecter la durée de conservation des données.
  • Mettre en place une procédure de notification en cas de violation.
  • Être en mesure de prouver sa conformité en cas de contôle (Accountability).
  • Les traitements à risque élevé doivent faire l’objet d’une analyse d’impact (PIA : Privacy Impact Assessment).
  • Vérifier la conformité des sous-traitants.
  • Nommer un DPO dans certains cas.

Quels sont les bénéfices du RGPD pour les entreprises ?

Le RGPD est perçu par beaucoup de chefs d’entreprise comme une contrainte supplémentaire. Au delà de l’obligation légale d’être en conformité et de pouvoir le prouver en cas de contrôle, les bénéfices de la mise en conformité sont nombreux.

Voir notre article : les bénéfices du RGPD pour les entreprises

Défilement vers le haut