News : Journée européenne de la protection des données. Gagnez des accompagnements et des abonnements en vous inscrivant à notre quiz du 28 Janvier !

Logo Witik

Mise en conformité RGPD : Tout comprendre en 5 minutes

Dans cet article, nous vous expliquons comment tout comprendre à la mise en conformité RGPD : Qui cela concerne ? Quels sont les process ?
mise en conformité RGPD lettres scrabble

Table des matières

Partager l'article
Partager sur facebook
Partager sur linkedin
Partager sur twitter
Partager sur email

La mise en conformité au RGPD concerne toutes les entreprises : artisans, PME, freelance, start-up, multinationale… quelle que soit leur taille. Bien que le RGPD s’applique à chacune de ces structures, les obligations de conformité sont évidemment proportionnelles à l’activité et aux moyens dont chacune dispose. Néanmoins, le principe du texte n’est pas de traiter les entreprises en fonction de leur taille ou de leur secteur d’activité. Le seul critère à prendre en compte est celui de la donnée traitée : son volume d’une part et son degré de sensibilité d’autre part.


Depuis le 25 mai 2018, collecter et traiter des données personnelles implique avant tout d’informer les personnes sur ce qu’on fait de leurs données et de respecter leurs droits.
En tant que responsable d’un traitement de données, en tant que DPO ou en tant que sous-traitant, il est nécessaire de prendre des mesures pour garantir une utilisation de ces données respectueuse de la vie privée. La mise en conformité RGPD concerne quasiment tout le monde, hormis certaines activités très particulières comme celles liées à la défense nationale, par exemple. 


Quels sont les grands principes de la mise en conformité RGPD qui s’appliquent à tous ? Quelles sont les différences pour votre activité en tant que TPE/PME ou grande entreprise ? Qui a besoin d’un DPO et quel est son rôle ? 


Mise en conformité RGPD : quels fondamentaux communs à toutes les structures ?


Cartographier les données


La mise en conformité RGPD commence pour toutes les entreprises par un socle commun : l’audit de conformité et une cartographie des traitements mis en place au sein de l’organisation. Une première étape de la conformité RGPD qui permet de connaitre l’existant en termes de procédures et de moyens, et ainsi dresser une liste des traitements mis en œuvre par l’organisme.


L’audit permet d’identifier les mesures à appliquer afin d’atteindre la conformité au RGPD. Ces mesures, bien qu’étant les mêmes pour tous (sécuriser les lieux de stockage des données, prévoir des procédures de réponse aux demandes des utilisateurs, prévoir une durée de conservation des données, etc.), ne seront pas appliquées de la même façon selon les données traitées ou la taille de la structure. Il s’agit ici de faire le tri dans vos données. Dans cette optique, s’appuyer sur un logiciel RGPD disposant d’un registre de traitements automatisé permettra de gagner du temps et de mener un tri plus efficace dans les traitements opérés. 


Protéger les droits des personnes


Comme précisé, l’objectif premier du règlement européen est de protéger le droit des personnes. C’est la grande bascule du RGPD. Celle de redonner le contrôle des informations personnelles aux personnes concernées.


Il est donc nécessaire de fournir aux personnes concernées une information claire et complète des modalités du traitement des données : destinataires, finalité, durée de conservation des données, droits offerts, etc. Et ce, sur chaque formulaire visant à collecter des données.


Dans un objectif de transparence et d’information, le RGPD exige que les organismes responsables de traitements de données à caractère personnel se responsabilisent et documentent également leurs procédures et méthodes.  


Coresponsabilité entre le responsable de traitement et sous-traitant


Le texte oblige toute entreprise à s’assurer que le « sous-traitant » qui gère tout ou une partie du traitement impliquant des données à caractère personnel a pris en compte et mis en œuvre les exigences RGPD. D’où la nécessité de mener un audit RGPD de vos sous-traitants et partenaires


Tous les acteurs sont donc responsables à leur niveau d’éventuelles pertes ou dégradation de données, et peuvent entrainer, le cas échéant, la responsabilité de leur client donneur d’ordre.


C’est à ce moment que le RGPD doit être perçu comme un véritable avantage concurrentiel, la conformité RGPD devenant un critère de choix de ses partenaires commerciaux.  


TPE-PME : la mise en conformité au RGPD pour toutes les entreprises


La mise en conformité RGPD a un coût. Il peut représenter un investissement important pour les TPE et PME. Que ce soit au niveau des ressources humaines, de temps et de budget. Cependant, au-delà de la menace de la sanction financière ou de l’impact réputationnel, il est indispensable que les entreprises de petite taille se mettent en conformité.


En tant que sous-traitant, ces entreprises doivent fournir des preuves et des garanties de leur conformité à leur client. Pour les TPE et PME, l’enjeu est de mettre en place, à moindre coût, les mesures indispensables pour que la conformité devienne un critère de compétitivité.


Registre de traitements :


 Les entreprises de moins de 250 salariés n’ont pas d’obligation de tenir un registre des traitements sauf pour :


  • Les traitements non occasionnels (exemple : gestion de la paie, gestion des clients/prospects et des fournisseurs, etc.) ;
  • Les traitements susceptibles de comporter un risque pour les droits et libertés des personnes (exemple : systèmes de géolocalisation, de vidéosurveillance, etc.)
  • Les traitements qui portent sur les catégories particulières de données visées à l’article 9 et 10 du RGPD des données sensibles (exemple : données de santé, infractions, biométrie etc.).

Bon à savoir : Tenir un registre des traitements demande une coordination entre les différents départements susceptibles d’être en contact avec des données personnelles ( Marketing, Sales, H) mais aussi une grande organisation. Afin de faciliter votre mise en conformité RGPD, Witik a crée un module simple de prise en main qui facilite les process, encourage les collaborations internes et automatise les tâches. 


mise en conformité rgpd

Sécurité


La mise en conformité RGPD adresse différents aspects. L’exigence de sécuriser les espaces de stockage de données n’est évidemment pas interprétée de la même façon entre un géant du web possédant ses propres data centers et faisant face à des risques d’espionnage industriel et de sabotage, et le coiffeur d’un village qui conserve dans une armoire les agendas sur lesquels ils notent ses rendez-vous.


Il sera demandé aux TPE d’assurer la sécurité des données face aux risques (physiques et virtuels) qui pèsent sur les entreprises de taille modeste : on parle surtout ici de fuites de données (accidentelles ou non. Par exemple un cambriolage, ou encore un ancien employé qui part avec une base de données) et de ruptures de service (problème informatique et/ou chute du système).


Cela revient donc à sécuriser les locaux, installer des moyens de contrôle d’entrée, ainsi que de sécuriser les archives et les postes de travail.  


Les ETI et les grands groupes : des risques plus importants


Ces mêmes règles s’appliquent aux organismes de taille plus importante, à leur échelle. Les risques sont de nature différente et ne sont pas appréciés de la même manière, étant donné le volume extrêmement conséquent de données personnelles qui peut être exploité. Ici, le risque est moins la perte ou l’effacement accidentel de donnée, mais plutôt le vol ou le blocage des données contre rançon, ainsi qu’un fort risque réputationnel.


En effet, les sanctions de la CNIL sont rendues publiques, et les scandales de fuites de données massives sont très régulièrement relayées par les réseaux sociaux ou la presse.


Ici, la documentation est donc un élément central de la conformité RGPD. Chaque procédure doit être écrite et consultable, toujours dans un objectif d’information et d’auto-responsabilisation des acteurs. Les mentions d’information et des différentes politiques appliquées (gestion des données, conservation des données) devront être facilement accessibles et compréhensibles.


Il est très important d’apporter un soin particulier, au sein des grandes structures, dans la mise en place des circuits d’application des demandes de de particuliers. Concrètement, cela revient à s’assurer qu’une réponse est apportée à chaque intéressé, et ce dans les délais imposés par les textes.


Du fait du caractère massif de leurs traitements de données, les grandes structures sont soumises à de nombreuses requêtes d’utilisateurs, et chaque oubli peut mener à une plainte auprès de la CNIL, menant elle-même à un contrôle de conformité et donc une potentielle sanction ! Chaque procédure et chaque opération doit être enregistrée, afin de s’en prévaloir lors d’éventuels contrôles.


C’est dans cette optique de transparence et de documentation que les responsables de traitement doivent tenir un registre des traitements qu’ils exploitent. Ce registre contient la liste des traitements de données – de la collecte à la destruction des données, chaque exploitation de données est documentée.  


Un DPO, pour qui ? Pour quoi ?


Le Data Protection Officer (DPO) est le chef d’orchestre de la mise en conformité RGPD. Employé de la structure, ou consultant externe, son rôle est de conseiller le responsable de traitement, et de faire en sorte que l’organisation respecte la règlementation en matière de protection des données.


Le recrutement d’un DPO est obligatoire pour :


  • Tous les organismes publics,
  • Les organismes dont les activités de base les amènent à réaliser un suivi à grande échelle régulier et systématique des personnes, ou à traiter à grande échelle des données dites « sensibles ».

Le RGPD ne définit pas la notion de traitement à grande échelle mais le G29 (Groupe des autorités européennes de protection) en donne une interprétation très large. Il est conseillé cependant, même lorsque son entreprise ne rentre pas dans les critères, de nommer un DPO afin d’être guidé et conseillé dans le processus complexe de mise en conformité. Il permet à toute entreprise, quelle que soit sa taille, d’endosser le rôle l’interface avec les personnes concernées et de vous assister lors des contrôles).


Le RGPD, du fait de son universalité, est donc évidemment soumis à interprétation. Les mêmes règles s’appliquent à tous. C’est alors du ressort du DPO et du responsable de traitement de faire de la gestion du risque, et d’évaluer le degré d’effort à apporter à la mise en conformité à la réglementation en matière de protection des données.  


Alexis Cornilleau, Juriste