Le RGPD pour les nuls : dans 5 min, vous saurez tout !

Laisser un commentaire / Par /

Vous ne savez pas si le RGPD (ou Règlement Général sur la Protection des Données) en vigueur depuis 2018, s’applique à votre entreprise ? Vous savez que cela concerne la manière dont doivent être traitées les données personnelles dans votre structure, mais votre connaissance de la conformité s’arrête ici ? Rassurez-vous : d’ici 5 minutes, après avoir lu notre article « Le RGPD pour les nuls » (ou, dirons-nous, les non-initiés) vous serez quasi incollable sur la réglementation européenne. Vous saurez ce qu’est le RGPD, quels sont ses grands principes, à qui il s’applique et ce que vous risquez en cas de non-conformité. Enfin, vous apprendrez également comment mettre en place la protection des données dans votre structure. Faites-vous couler une boisson chaude, enfilez vos lunettes et bonne lecture !

Le RGPD pour les nuls en 6 points

  • Le RGPD (Règlement Général sur la Protection des Données) est un texte européen en vigueur depuis mai 2018 qui encadre la collecte, le traitement et la conservation des données personnelles. 
  • Il s’applique à toute structure, publique ou privée, dès lors qu’elle traite des données de personnes résidant dans l’Union Européenne. 
  • Ses 7 grands principes imposent notamment le consentement éclairé, la minimisation des données et l’obligation de sécurité des données collectées. 
  • En outre, les personnes dont vous collectez les données ont des droits, que vous devez respecter. 
  • En cas de non-conformité, les sanctions peuvent atteindre 20 millions d’euros ou 4 % du chiffre d’affaires mondial. 
  • Alors mettre en place le RGPD dans votre structure est loin d’être une option : c’est un gage de sérieux et de pérennité de votre entreprise, ainsi que de respect de la confiance de vos clients et partenaires. Et c’est exactement ce dans quoi vous accompagne Lexactitude !

Qu’est-ce que le RGPD ? Définition

Première question (et première réponse éclairée) de notre guide « Le RGPD pour les nuls » : que veut dire RGPD ? Il s’agit tout simplement de l’acronyme pour « Règlement Général sur la Protection des données ». Ce texte européen, entré en vigueur en mai 2018, a pour objectif de renforcer la sécurité des données personnelles des personnes vivant en UE et dans l’Espace Économique Européen. Car tous les jours, ce sont des millions de données (nom, prénom, date de naissance, adresse postale et mail, numéros divers, données sensibles) qui sont collectées, traitées et stockées par les entreprises et associations. Les moyens de les récolter se multiplient, notamment avec l’usage du numérique, l’IA et le e-commerce) et les enjeux aussi.

Que ce soit par l’intermédiaire de leur site internet par un formulaire ou directement au sein de la structure, les informations personnelles des consommateurs, salariés, partenaires, sous-traitants sont donc récoltées. Or, chaque personne concernée a des droits concernant ses propres données. L’objectif du RGDP est de légiférer sur leur traitement, afin de protéger les citoyens européens.

💡 Question fréquente : qu’est ce que la CNIL ? La CNIL, ou Commission nationale de l’informatique et des libertés, est en France l’organisme chargé de la régulation de la protection des données personnelles et de l’application du RGPD. Elle a un rôle de conseil, pour aider à la mise en conformité, mais aussi de contrôle et de sanction en cas de manquement au règlement.

Quels sont les 7 grands principes du RGPD ?

Le RGPD comporte 7 grands principes relatifs au traitement des données personnelles. Ils sont assez simples à comprendre, vous allez voir (même si vous pensez être de niveau « RGPD pour les nuls ») :

  1. la licéité du traitement, c’est-à-dire que le traitement des données soit nécessaire pour un motif comme respecter la loi, exécuter un contrat ou préserver la vie de la personne, ou bien que la personne y ait librement consenti. Si consentement il y a, il doit être libre, éclairé, pour une finalité spécifique et sans ambiguïté. 

  2. la finalité du traitement, c’est-à-dire que l’on recueille les données dans un (ou des) but(s) spécifique(s), et qu’elles ne pourront pas être utilisées ensuite pour une autre finalité.

  3. la minimisation des données, c’est-à-dire qu’on ne collecte que les données vraiment nécessaires et utiles pour le but recherché. Ex : connaître votre nombre d’enfants n’est pas utile lorsque vous vous inscrivez à la newsletter d’une parfumerie. 

  4. la conservation des données : la durée de conservation est limitée. Lorsque ce pourquoi les données ont été collectées est atteint ou terminé, celles-ci doivent être supprimées, archivées ou rendues anonymes, dans un délai de 2 ans recommande la CNIL.  

  5. la transparence du traitement, c’est-à-dire que la personne concernée doit savoir exactement pourquoi ses données sont collectées et pouvoir exercer ses droits dessus.

  6. l’obligation de sécurité des données : évidemment, l’entreprise qui collecte les données doit mettre en place toutes mesures pour les sécuriser, et ainsi éviter les fuites, les risques de perte de confidentialité, etc.  
     
  7. le principe d’accountability : ce terme signifie « rendre compte », c’est-à-dire que votre structure doit être en mesure de rendre compte de son respect du RGPD en cas de contrôle des autorités. Cela passe par la mise en place de procédures en interne, d’une organisation adéquate, de moyens techniques, etc. La tenue de documents obligatoires comme le registre de traitements en est un exemple.
On fait le point sur votre conformité ?

Le RGPD pour les nuls : zoom sur la protection des données personnelles

La définition des données personnelles

Qu’est-ce qu’une donnée personnelle ? De manière vulgarisée, c’est une information qui se rapporte à une personne physique. Celle-ci peut être soit identifiée directement (son nom, son prénom), soit identifiable, à l’aide d’un numéro par exemple (votre numéro de Sécurité sociale, un numéro de client, votre adresse IP), de son image, d’une donnée biométrique (empreinte), génétique (ADN), géographique (géolocalisation)… Bref, toute information permettant de savoir connaître l’identité d’une personne constitue une donnée personnelle.


Parfois vous n’aurez besoin que d’une information pour l’identifier (ex : chaque personne a un numéro de sécurité sociale unique), parfois vous devrez croiser les informations recueillies pour remonter à une personne physique précise. C’est le principe d’une base de données en marketing par exemple.

Données sensibles vs données personnelles

Certaines données personnelles font l’objet d’une interdiction : vous ne devez ni les collecter, ni les utiliser, sauf exceptions listées par l’article 9 du RGPD. Ce sont les données sensibles selon le RGPD, dont voici la liste

  • les données révélant l’origine « raciale » ou ethnique, les convictions religieuses ou philosophiques, les opinions politiques d’une personne ;
  • les données relatives à la vie ou l’orientation sexuelle d’une personne.
  • l’appartenance à un syndicat ;
  • les données en lien avec la santé ;
  • les données génétiques ou biométriques seulement destinées à identifier une personne physique.

Au titre des exceptions prévues par le règlement européen : 

  • la finalité médicale ;
  • le consentement exprès de la personne ;
  • l’intérêt public doublé d’un accord de la CNIL ;
  • le fait de faire partie d’une association religieuse, politique, syndicale, philosophique.

Les droits des personnes concernées sur leurs données

Recueillir des données, c’est bien. Mais encore faut-il que les personnes physiques qui vous les offrent aient certaines garanties en retour ! Voici les 8 droits que vous devez garantir aux personnes concernées sur leurs données personnelles :

  1. le droit à l’information, c’est-à-dire le droit de savoir comment et pourquoi les données sont collectées et utilisées.

  2. le droit d’opposition, c’est-à-dire le droit de refuser à ce que les données personnelles soient utilisées.

  3. le droit d’accès, c’est-à-dire le droit de regard de la personne concernée sur les données qui ont été recueillies.

  4. le droit de rectification, c’est-à-dire le droit de modifier et d’apporter des corrections à des données collectées.

  5. le droit à l’effacement, ou droit à l’oubli, c’est-à-dire le droit de demander à ce que les données personnelles recueillies soient supprimées.

  6. le droit au déréférencement, c’est-à-dire le droit de demander à ce que les données personnelles n’apparaissent plus sur Google et autres moteurs de recherche sur le web.

  7. le droit à la portabilité, c’est-à-dire le droit des personnes de récupérer leurs données pour les transférer ailleurs (ex : portabilité du numéro de téléphone, transfert de données d’un réseau social à un autre, d’un fournisseur d’énergie à un autre, etc.)

  8. le droit à la limitation, c’est-à-dire le droit de demander à ce que l’utilisation des données soit bloquée temporairement, dans le cadre d’une opposition ou d’un rectification par exemple.

💡 Bon à savoir : tous ces droits sont détaillés dans le chapitre 3 du RGPD « Droits des personnes concernées ».

Qui est concerné par le RGPD ?

Peut-être aurions-nous évoquer cette question dès le début de ce guide du RGPD pour les nuls ! En fait, le RGPD concerne potentiellement toute structure :

  • privée ou publique ;
  • entreprise, association, organisation ;
  • de la microentreprise à la multinationale ;
  • située sur le territoire européen ou ayant pour cible les personnes résidant en UE

à partir du moment où elle traite des données personnelles, que ce soit ou non pour son propre compte (ex : les sous-traitants).

 

Donc une entreprise française qui livre ou traite hors UE, ou à l’inverse une boutique établie à l’étranger et dont les clients sont en UE sont tout autant concernées. Et une association de quartier qui propose seulement deux cours de macramé un mercredi par mois doit aussi respecter le RGPD, de même que l’association de parents d’élèves qui recueille les coordonnées des familles. 

Que risquez-vous en cas de non conformité ?

Si vous êtes concerné par le RGPD mais que vous ne vous mettez pas en conformité avec ses directives, alors vous exposez votre entreprise ou association à des risques de sanctions. Elles peuvent être financières, administratives ou bien indirectes : vous allez vite comprendre l’intérêt de comprendre et respecter le RGPD !

Les sanctions de la CNIL

La CNIL est l’organisme régulateur du RGPD en France. Son pouvoir lui permet de prononcer différents types de sanctions à l’encontre des structures qui pensent que le RGPD, c’est pour les nuls…

  • des amendes financières, dont le montant dépend à la fois du manquement constaté (mise en conformité ou, plus grave, droits des personnes concernées ) et de la gravité de ce dernier. Les sommes à verser en cas de non-conformité peuvent aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial. Mieux vaut se conformer !
  • des sanctions administratives allant du rappel à l’ordre simple à la mise en conformité sous astreinte, en passant par la limitation ou la suspension pure et simple du traitement de données. Il peut aussi être ordonné de répondre aux demandes d’exercice de droits sous astreinte. Enfin, toutes ces décisions prises par la CNIL peuvent être rendues publiques : un mauvais coup pour votre réputation.

Vous voulez en savoir davantage sur ce qui attend les contrevenants ? Nous vous avons détaillé les sanctions de la CNIL dans cet article

Les autres risques en cas de non-conformité

Au-delà des décisions qui peuvent être prononcées par la CNIL, la non-conformité de votre structure au RGPD peut aussi avoir des conséquences assez dommageables pour votre activité. 

Au programme ; perte de confiance de vos partenaires qui vous quittent pour un prestataire plus scrupuleux, risque accru de violation de données (et potentielles actions en justice dans ce cadre), dépenses supplémentaires pour vous mettre en conformité, perte de valeur de vos données… 

Nous vous encourageons à lire notre article sur les risques globaux liés au RGPD, et à mettre en place sans tarder les bonnes actions pour y remédier !

Comment mettre en place le RGPD dans votre structure ?

Vous en avez assez d’être le mauvais élève de la classe en matière de conformité ? Pour dire adieu au RGPD pour les nuls, nous vous encourageons vivement à intégrer la culture de la protection des données dans votre structure. Pas de panique : c’est assez simple, il vous suffit de suivre ces quelques étapes. 

Étape 1 : nommer un référent à la protection des données

La première étape consiste à identifier au sein de votre structure la personne qui sera chargée de piloter la conformité RGPD : c’est ce qu’on appelle le Délégué à la Protection des Données, DPO (Data Protection Officer) ou référent RGPD. Ce référent peut être interne (un salarié formé à cette mission) ou externe (un prestataire spécialisé).

Attention : dans certains cas, la désignation d’un DPO est obligatoire. C’est notamment le cas pour les organismes publics, pour les structures qui traitent des données sensibles à grande échelle (données de santé, données génétiques, etc.), et pour celles dont l’activité principale implique un suivi régulier et systématique des personnes concernées.

Pour les autres structures, la CNIL recommande fortement de désigner un DPO, même sans obligation légale. Et pour cause : gérer la conformité RGPD au quotidien demande du temps, des compétences juridiques et une veille réglementaire constante. 

Faire appel à un DPO externalisé comme le cabinet de consulting RGPD Lexactitude présente plusieurs avantages concrets : 

  • vous bénéficiez d’une expertise certifiée et juridiquement à jour ; 
  • vous évitez les risques de conflit d’intérêt qu’implique un référent interne. Un DPO ne peut pas être à la fois juge et partie, donc le rôle de référent RGPD en interne ne peut être assuré par les collaborateurs les plus aptes comme la RH ou le service juridique… ce qui complique le recrutement. 
  • vous externalisez une mission chronophage pour vous concentrer sur votre cœur de métier.
Tout savoir sur notre rôle de DPO externalisé

Étape 2 : faire un état des lieux de votre conformité

Avant de vous lancer à corps perdu dans une refonte de la conformité de votre structure, encore faut-il savoir où vous en êtes ! C’est là qu’intervient l’audit RGPD, qui fait le diagnostic complet de votre structure au niveau du traitement des données personnelles : quelles données collectez-vous ? Où sont-elles stockées ? Qui y a accès ? Quelles sont vos failles ?

 

L’audit RGPD réalisé par Lexactitude identifie surtout vos points de non-conformité et les classe par ordre de criticité (c’est-à-dire lesquels pourraient vous valoir plus qu’une petite tape sur les doigts de la part des autorités de contrôle comme la CNIL). À l’issue de cette étape, vous recevez un rapport clair et un plan d’actions priorisé, pour savoir exactement quoi corriger et dans quel ordre. Un indispensable pour partir sur de bonnes bases et être rayé de la liste « RGPD pour les nuls » !

Étape 3 : documenter vos traitements de données

C’est l’une des obligations phares du RGPD : tenir un registre des activités de traitements. Ce document recense l’ensemble des opérations effectuées sur les données personnelles au sein de votre structure (ce que vous collectez, pourquoi, qui y a accès et combien de temps sont-elles conservées). Il doit être tenu à jour et présenté en cas de contrôle de la CNIL. C’est le principal outil qui permet de démontrer votre conformité, notamment dans le cadre du principe d’accountability (le fait de rendre des comptes) vu plus haut.

Étape 4 : corriger les manquements au RGPD

Une fois l’audit réalisé, le registre des traitements mis en place et les manquements identifiés, place à l’action ! Cette étape consiste à concrètement mettre en œuvre les corrections préconisées, par exemple : 

  • mise à jour de vos mentions légales et politique de confidentialité
  • révision de vos contrats avec les sous-traitants
  • sécurisation de vos processus de collecte
  • réponse aux demandes d’exercice de droits, etc.

Chaque action doit être tracée et documentée, pour pouvoir en justifier en cas de contrôle.

Étape 5 : mettre en place la conformité dans votre structure

Eh oui, la conformité RGPD va plus loin que la seule mise en place des correctifs : vous devez être dans l’anticipation des risques plus que dans la correction. Pour cela, vous devez mettre en place une nouvelle organisation dans le fonctionnement réel de votre structure. 

 

Cela passe entre autres par des procédures internes claires, des outils adaptés à vos traitements de données et votre activité, et une répartition des responsabilités bien définie. L’objectif final est que le respect des données personnelles devienne un réflexe pour toutes les personnes qui travaillent avec vous (et que tout ne repose pas sur les épaules du big boss). Pensez aussi, si vous avez un site internet, que le RGPD passe aussi par des mentions à y faire figurer. 

Étape 6 : garantir la conformité dans le temps

La dernière étape n’est pas à prendre à la légère (mais rassurez-vous, elle n’est pas très compliquée). Car non, le RGPD n’est pas une case qu’on coche une bonne fois pour toutes. La réglementation évolue et vos activités aussi ! Garantir la conformité dans la durée implique donc une veille continue de la réglementation et de vos pratiques, et des mises à jour régulières.

 

Pour cela, vous pouvez : 

  • vous appuyer sur un DPO externalisé qui assure ce suivi pour vous, surveille les évolutions réglementaires et pilote la conformité de façon proactive. 
  • former vos équipes et votre référent RGPD en interne. Une formation RGPD adaptée à votre secteur et à la taille de votre structure permet certes de sensibiliser vos équipes aux bons réflexes, mais surtout de prévenir les erreurs humaines (première cause de violation de données) et de maintenir la conformité sans vous prendre la tête.

Les formations à la conformité proposées par LexActitude sont concrètes, sur mesure, et (cerise sur le gâteau) finançables par votre OPCO. Renseignez-vous… et tranquillisez-vous !

Adieu le RGPD pour les nuls !

Le RGPD pour les nuls ? C’est terminé pour vous ! Vous avez désormais tout compris à la conformité et à la protection des données personnelles qui incombent à votre structure. Et vous savez aussi que Lexactitude est votre partenaire RGPD privilégié, prêt à vous épauler dans cette mission. Vous souhaitez dès à présent faire le point sur votre respect du Règlement Général sur la Protection des Données et le mettre concrètement en place dans votre entreprise, TPE-PME ou association de Grenoble, Lyon et toute la région Auvergne-Rhône-Alpes ?

Pour en discuter et obtenir un devis, c’est par ici !

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Retour en haut