Ca faisait des mois qu’on en entendait parler : ça y est, depuis le 25 mai, le règlement général sur la protection des données (le fameux RGPD) est entré en vigueur. Si les grandes entreprises ont déjà toutes pris leurs dispositions (vous avez aussi dû recevoir une flopée d’emails la semaine dernière à ce sujet), ce n’est pas encore le cas de toutes les TPE et PME. Si vous êtes aussi dans ce cas, rassurez-vous : vous n’êtes pas seul! Comme beaucoup d’autres dirigeants, ce n’est pas forcément la volonté qu’il vous manque mais 1/ la connaissance et 2/ le temps. Par où commencer? Que faut-il vraiment mettre en place, concrètement? Nous avons fait le point pour vous (et pour nous aussi du reste!) et répondons aux principales interrogations liées à la mise en place du RGPD.

 

1- Concrètement, je commence par quoi ?

Quelle que soit la taille de l’entreprise, la procédure est globalement la même. Globalement, voici les 4 actions-clés :

> Établir un registre des données personnelles utilisées par l’entreprise : le principe est de lister vos différents fichiers contenant des données personnelles. Pour cela, comme la CNIL ne fait pas trop mal les choses, vous pouvez télécharger facilement un modèle de registre sur le site (scrollez jusqu’à “les outils pour vous aider”).

> Analyser les données du registre : pour chaque fiche de registre créée, vérifiez :

• que les données que vous traitez sont nécessaires à vos activités (par exemple, il n’est pas utile de savoir si vos salariés ont des enfants, si vous n’offrez aucun service ou rémunération attachée à cette caractéristique)
• que vous ne traitez aucune donnée dite « sensible » ou, si c’est le cas, que vous avez bien le droit de les traiter
• que seules les personnes habilitées ont accès aux données dont elles ont besoin
• que vous ne conservez pas vos données au-delà de ce qui est nécessaire

> Mettez vous en conformité : à chaque fois que vous collectez des données personnelles, le support utilisé (formulaire, questionnaire, etc.) doit comporter des mentions d’information.

Vérifiez que l’information comporte notamment les éléments suivants :

• pourquoi vous collectez les données (« la finalité » ; par exemple pour gérer l’achat en ligne du consommateur)
• ce qui vous autorise à traiter ces données (le « fondement juridique » : il peut s’agir du consentement de la personne concernée, de l’exécution d’un contrat, du respect d’une obligation légale qui s’impose à vous, de votre « intérêt légitime »)
• qui a accès aux données (indiquez des catégories : les services internes compétents, un prestataire, etc.)
• combien de temps vous les conservez (exemple : « 5 ans après la fin de la relation contractuelle »)
• les modalités selon lesquelles les personnes concernées peuvent exercer leurs droits (via leur espace personnel sur votre site internet, par un message sur une adresse email dédiée, par un courrier postal à un service identifié)
• si vous transférez des données hors de l’Union européenne (précisez le pays et l’encadrement juridique qui maintient le niveau de protection des données).

> Mettre en place des mesures pour sécuriser les données : vous devez pouvoir justifier du fait que les données dont vous disposez sont en sécurité. Certes, le risque 0 n’existe pas, mais il faut au moins pouvoir prouver votre bonne foi. Vous devez prendre les mesures nécessaires pour garantir au mieux la sécurité des données. Vous êtes en effet tenu d’assurer la sécurité des données personnelles que vous détenez. Différentes actions doivent être mises en place : mises à jour de vos antivirus et logiciels, changement régulier des mots de passe et utilisation de mots de passe complexes, ou chiffrement de vos données dans certaines situations. En cas de perte ou vol d’un outil informatique, il sera plus difficile pour un tiers d’y accéder.

 

4 actions clés, c’est déjà bien pour démarrer. Il existe encore d’autres mesures pouvant concerner les TPE et PME : vous pouvez la retrouver entièrement ici, dans un document rédigé par la Confédération des PME. ceci dit, les 4 actions citées concernent la plus vaste majorité d’entre vous.

 

2- Questions / réponses :

 

1- Dois-je nommer un DPO (Délégué à la Protection des Données) dans l’entreprise ? Cette désignation est obligatoire pour certaines entreprises opérant des traitements à grande échelle présentant des risques particuliers. Dans les autres cas, la désignation d’un délégué est recommandée notamment si votre activité vous impose de mener une analyse approfondie du RGPD.  

2- Suis-je obligé de re-demander leur consentement à mes contacts ? Grande question. Techniquement, si après analyse de vos fichiers clients, vous vous rendez compte que vous n’avez pas le consentement pour l’exploitation de la donnée pour une certaine finalité (exemple, vous envoyez votre newsletter aux personnes qui vous ont simplement donné leur carte de visite), vous devriez leur demander de nouveau leur consentement. Vous pouvez prendre exemple sur les innombrables messages que vous avez dû recevoir et le faire via un email auprès de votre base de contacts les informant de votre mise en conformité et répétant les points mentionnés dans le point n°3 “mettez-vous en conformité”. Pour faire plus simple, vous pouvez également leur proposer de se désinscrire de vos communications.

3- Que dois-je modifier dans mes documents ?

Vos CGV dans vos contrats. Voici par exemple, un modèle (à personnaliser) :

Les informations recueillies vous concernant font l’objet d’un traitement

Pour la finalité suivante :….

Les destinataires de ces données sont : ……

La durée de conservation des données est de

Vous bénéficiez d’un droit d’accès, de rectification, de portabilité, d’effacement de celles-ci ou une limitation du traitement.

Vous pouvez vous opposer au traitement des données vous concernant et disposez du droit de retirer votre consentement à tout moment en vous adressant à :…..

• Information auprès de vos salariés (si vous en avez) : vous trouverez page 15 du document un modèle de exemple de message à adresser à vos salariés pour les informer des démarches en cours dans l’entreprise pour se conformer au RGPD. D’autre part, si vous exploitez des données personnelles de vos salariés, voici quelques exemples pratiques de mentions d’information.
• Votre site internet : si vous récoltez des données via votre site internet, que ce soit par un système de cookies ou de formulaires électroniques, vous trouverez une petite checklist bien pratique sur ce site.
• Vos campagnes d’emailing : si vous faites des campagnes d’emailing, voici un article très intéressant sur ce que vous pouvez encore ou ne pouvez plus faire.

4- Que dois-je faire par rapport à mes sous-traitants ? Les sous-traitants sont tenus de respecter des obligations spécifiques en matière de sécurité, de confidentialité et de documentation de leur activité. Vérifiez que vos sous-traitants connaissent leurs nouvelles obligations et leurs responsabilités, assurez-vous de l’existence de clauses contractuelles rappelant les obligations du sous-traitant en matière de sécurité, de confidentialité et de protection des données personnelles traitées.

 

On ne va pas se mentir, la mise en conformité de votre entreprise au RGPD représente un minimum de travail, même pour les TPE. Cependant, en suivant nos conseils et ceux des différentes sources citées, vous gagnerez déjà un temps précieux : celui de ne pas avoir eu à chercher l’info! Rassurez-vous, il est prévu un délai avant que les autorités ne commencent à épingler les TPE qui ne seraient pas en règle mais, s’il n’est pas utile de paniquer, cela ne doit pas vous empêcher de faire vos devoirs s’ils ne sont pas encore faits!