Au premier abord, ça ne fait pas envie….mais pourtant, se mettre en conformité n’est pas si compliqué que ça et surtout ce n’est pas une option !
Coup de Pouce Gestion vous aide à prendre le sujet par le bon bout
Règlement Général sur la Protection des Données (R.G.P.D.), Politique de confidentialité, on voit ces notions un peu partout, que ce soit sur les sites internet ou bien sur les documents contractuels.
Cela fait maintenant 7 ans que cette réglementation européenne est entrée en vigueur. Malgré tout, le dernier Baromètre de la conformité RGPD des TPE et PME – Edition 2024 de France Num met en avant des chiffres intéressants.
5% seulement des 300 structures diagnostiquées disposent d’une documentation R.G.P.D. complète. Alors si comme 59 % des sondés vous ne trouvez pas le temps de vous y mettre, et comme 49% d’entre eux vous ne savez pas par où commencer, j’espère vous aider à y voir plus clair à travers cet article !
Qui est concerné par le.R.G.P.D.?
Le champs d’application est très large, alors peu de chance que vous ne soyez pas concernés. Pas possible cette fois de se dire : « je suis tout petit, c’est pas pour moi ! ».
Cette réglementation s’applique en effet, à tous les professionnels quelle que soit leur taille ou leur secteur d’activité.
Par contre la bonne nouvelle, c’est qu’on ne demande pas la même chose à une grosse société qu’à une T.P.E., les obligations sont modulées en fonction de la nature, du contexte et du risque que représentent les données traitées.
Une petite précision, contrairement à ce que l’on peut entendre, le R.G.P.D. concerne aussi bien les traitements automatisés sur informatique que les fichiers papiers !
C'est quoi le risque si je ne suis pas en conformité avec le R.G.P.D. ?
La conformité à cette réglementation, c’est un enjeu important, y compris pour les T.P.E. Il y a deux principales conséquences à éviter à tout prix :
D’abord, c’est l’image de votre entreprise qui est en jeu.
Et puis bien sûr, un argument de taille ce sont les conséquences financières…Là aussi, les sanctions sont modulées, il existe 2 types de procédures en cas de non conformité.
Qu'est ce qu'on attend d'une T.P.E. pour être conforme en matière de R.G.P.D. ?
Les données concernées
- Article 4 du R.G.P.D : "toute information se rapportant à une personne physique identifiée ou identifiable"
- Données personnelles = données concernant des Personnes Physiques
- Que ce soit un client, un prospect, un adhérent, un fournisseur
- Tout ce qui permet d'identifier une personne d'une manière directe (nom, prénom) mais aussi de manière indirecte (numéro de téléphone, identifiant, numéro de sécurité sociale, adresse postale, voix, image...)
- Il y a également des données dites "sensibles". Elles concernent la santé, l'orientation sexuelle, l'origine raciale, les opinions politiques, les croyances religieuses. Le traitement de ces données est interdit, sauf circonstances spécifiques qui justifient leur traitement.
Celles qui ne le sont pas…
- Coordonnées d'entreprise
Le principe de base pour une T.P.E. va être de pouvoir montrer que le sujet R.G.P.D est pris en compte dans l’entreprise et que des démarches sont mises en oeuvre pour respecter les données personnelles.
L’idée étant de pouvoir démontrer, en cas de contrôle ou de procédure de la part d’un tiers, quelles sont les choses mises en place au sein de la structure.
La base : le registre des traitements
L’entreprise doit recenser l’ensemble des traitements de données à caractère personnel qui sont mis en oeuvre au sein de la structure.
Ce recensement est généralement regroupé par grandes finalités à savoir : fichier client, fichier RH, lutte contre la fraude, gestion des fournisseurs…
C’est un document simple, adapté à la structure qui peut être mis en place, généralement sous forme de fiche (la CNIL a même mis à disposition un modèle de registre simplifié à destination des petites entreprises)
L’idée étant pour chaque type de données traité, de renseigner :
- dans quel but je stocke ces données
- où sont-elles stockées
- qui a accès aux données
- quelle est la durée de conservation de ces données
- quelles grandes catégories d'informations sont collectées
- comment les personnes concernées sont-elles informées
C’est LE document indispensable que toute entreprise doit détenir. C’est ce document qui sera communiqué aux autorités en cas de contrôle, voire aux personnes fichées si elles en font la demande.
Fixer une durée de conservation des données
Une entreprise ne peut pas garder les données indéfiniment, elle doit fixer des durées de conservation.
Dans certains cas, c’est fixé par la loi, donc, dans ce cas, pas de questions à se poser. Par exemple, un employeur doit conserver le double des bulletins de paie pendant 5 ans.
Dans tous les autres cas, si aucune source légale ne fixe cette durée, c’est le responsable du traitement qui doit le définir et être en capacité de le justifier.
Montrer patte blanche en terme de transparence et de consentement
Les personnes pour lesquelles l’entreprise collecte des données doivent en être informées : sur la raison de la collecte, l’utilisation qui est faîte des données, et le temps de conservation.
L’entreprise doit également les informer de leurs droits et de la manière de les exercer (droit d’accès, de rectification, de limitation, droit à l’oubli…).
Dans la même logique, il faut que vous obteniez l’accord des personnes pour traiter les données les concernant (case à cocher dans un formulaire de contact par exemple, mention sur une fiche de renseignement fournisseurs…)
Sécuriser le stockage de vos données
On retrouve ici les règles de bases en terme de sécurité informatique, mais elles sont importantes dans le cadre du R.G.P.D. Parmi ces mesures on va retrouver :
- la sécurisation de l' accès aux locaux,
- la mise à jour antivirus et logiciels,
- le choix de mots de passe renforcés,
- la création des profils distincts selon les besoins des utilisateurs pour accéder aux données,
- la mise en place d’une procédure de sauvegarde et de récupération des données en cas d’incident.
Etre en capacité de traiter une demande d'exercice des droits
Si une personne vous adresse une demande pour exercer ses droits en matière de protection des données, vous devez respecter ce dernier. Vous êtes alors dans l’obligation d’y répondre dans un délai d’un mois, par écrit de préférence.
Dans les cas où la demande est trop complexe vous pouvez prolonger le délai de 2 mois supplémentaires (à condition d’en informer la personne dans le délai d’un mois).
Par ailleurs, pour prévenir les abus, si vous pouvez prouver que la demande est infondée ou excessive, par exemple en raison de son caractère répétitif, vous pouvez soit facturer des frais « raisonnables », soit refuser tout simplement de traiter la demande.
Par où commencer ?
Deux outils de diagnostics intéressants à tester
Ils permettent de faire le point sur là où vous en êtes en matière de gestion des données personnelles. Vous identifier ainsi vos lacunes, et obtenez une feuille de route pour passer à l’action. Le diagnostic ne prend que 15 minutes à chaque fois, et c’est gratuit !
Une feuille de route simple pour démarrer
Respecter le R.G.P.D. dans les petites structures n’est pas nécessairement synonyme de frais élevés ou d’usine à gaz à mettre en place !
En suivant ces quelques bonnes pratiques, vous êtes en capacité de protéger votre activité et de gagner la confiance de vos clients.
Parce que je veux vous proposer un accompagnement toujours plus pertinent et proche de votre réalité du terrain, j’ai entamé un parcours de formation MOOC sur le R.G.P.D.
Mon objectif, pouvoir vous apporter un éclairage de qualité sur le sujet.
Des sources intéressantes sur le sujet
