logiciel rgpd

Mise en conformité RGPD : Tout comprendre en 5 minutes

RGPDMarch 7, 2024

La conformité au RGPD est impérative pour toutes les entreprises, des artisans aux multinationales, en passant par les PME, les freelances et les startups, sans égard pour leur envergure.

L'application du RGPD ne varie pas selon la taille ou le domaine d'activité d'une entreprise, mais est déterminée par deux facteurs clés liés aux données gérées : leur volume et leur sensibilité.

À compter du 25 mai 2018, la collecte et le traitement des données personnelles requièrent avant tout une communication transparente avec les personnes concernées sur l'usage de leurs données et l'assurance de leurs droits. Que vous soyez en charge du traitement des données, que vous occupiez la fonction de DPO, ou que vous agissiez en tant que sous-traitant, il est crucial d'adopter des pratiques garantissant le respect de la vie privée dans l'usage de ces données. La nécessité de se conformer au RGPD s'étend à la majorité, excepté pour certaines sphères spécifiques comme la défense nationale.

Quelles sont les bases fondamentales de la mise en conformité avec le RGPD applicables universellement ? En quoi les exigences diffèrent-elles selon que vous dirigez une TPE/PME ou une grande entreprise ? Quand la désignation d'un DPO devient-elle nécessaire et quelles sont ses missions principales ?

Quels sont les fondamentaux communs à toutes les structures ?

Cartographier les données

La mise en conformité RGPD commence pour toutes les entreprises par un socle commun : l’audit de conformité et une cartographie des traitements mis en place au sein de l’organisation. Une première étape de la conformité RGPD qui permet de connaitre l’existant en termes de procédures et de moyens, et ainsi dresser une liste des traitements mis en œuvre par l’organisme.

L’audit RGPD permet d’identifier les mesures à appliquer afin d’atteindre la conformité au RGPD. Ces mesures, bien qu’étant les mêmes pour tous (sécuriser les lieux de stockage des données, prévoir des procédures de réponse aux demandes des utilisateurs, prévoir une durée de conservation des données, etc.), ne seront pas appliquées de la même façon selon les données traitées ou la taille de la structure. Il s’agit ici de faire le tri dans vos données. Dans cette optique, s’appuyer sur un logiciel RGPD disposant d’un registre de traitements automatisé permettra de gagner du temps et de mener un tri plus efficace dans les traitements opérés.

Protéger les droits des personnes

Comme précisé, l’objectif premier du règlement européen est de protéger le droit des personnes. C’est la grande bascule du RGPD. Celle de redonner le contrôle des informations personnelles aux personnes concernées.

Il est donc nécessaire de fournir aux personnes concernées une information claire et complète des modalités du traitement des données : destinataires, finalité, durée de conservation des données, etc. Et ce, sur chaque formulaire visant à collecter des données.

Dans un objectif de transparence et d’information, le RGPD exige que les organismes responsables de traitements de données à caractère personnel se responsabilisent et documentent également leurs procédures et méthodes.

Coresponsabilité entre le responsable de traitement et sous-traitant

Le texte oblige toute entreprise à s’assurer que le « sous-traitant » qui gère tout ou une partie du traitement impliquant des données à caractère personnel a pris en compte et mis en œuvre les exigences RGPD. D’où la nécessité de mener un audit des sous-traitants et partenaires.

Tous les acteurs sont donc responsables à leur niveau d’éventuelles pertes ou dégradation de données, et peuvent entrainer, le cas échéant, la responsabilité de leur client donneur d’ordre.

C’est à ce moment que le RGPD doit être perçu comme un véritable avantage concurrentiel, la conformité RGPD devenant un critère de choix de ses partenaires commerciaux.

TPE-PME : la mise en conformité au RGPD pour toutes les entreprises

La mise en conformité RGPD a un coût. Il peut représenter un investissement important pour les TPE et PME. Que ce soit au niveau des ressources humaines, de temps et de budget. Cependant, au-delà de la menace de la sanction financière ou de l’impact réputationnel, il est indispensable que les entreprises de petite taille se mettent en conformité.

En tant que sous-traitant, ces entreprises doivent fournir des preuves et des garanties de leur conformité à leur client. Pour les TPE et PME, l’enjeu est de mettre en place, à moindre coût, les mesures indispensables pour que la conformité devienne un critère de compétitivité.

Registre de traitements :

Tous les organismes, qu'ils soient publics ou privés et peu importe leur taille, sont tenus de maintenir un registre de leurs activités de traitement dès lors qu'ils manipulent des données personnelles.

Pour les entités de moins de 250 employés, certaines exceptions s'appliquent concernant la tenue de ces registres. Elles ne sont requises d'enregistrer que les activités de traitement qui :

  • Ne sont pas ponctuelles, telles que la gestion des salaires, la relation client/fournisseur, etc.

  • Peuvent représenter un risque pour les droits et libertés individuels, comme les dispositifs de géolocalisation ou de vidéosurveillance.

  • Incluent des données sensibles, comme les informations médicales ou relatives à des infractions.

En réalité, cette exception est restreinte aux traitements occasionnels qui ne présentent aucun risque pour les individus concernés, tels qu'une campagne promotionnelle pour l'ouverture d'un nouvel établissement. Si vous avez le moindre doute sur l'éligibilité d'un traitement à cette dérogation, il est conseillé de l'inclure dans votre registre, selon les recommandations de la CNIL.

Sécurité

La mise en conformité RGPD adresse différents aspects. L’exigence de sécuriser les espaces de stockage de données n’est évidemment pas interprétée de la même façon entre un géant du web possédant ses propres data centers et faisant face à des risques d’espionnage industriel et de sabotage, et le coiffeur d’un village qui conserve dans une armoire les agendas sur lesquels ils notent ses rendez-vous.

Il sera demandé aux TPE d’assurer la sécurité des données face aux risques (physiques et virtuels) qui pèsent sur les entreprises de taille modeste : on parle surtout ici de fuites de données ou violation de données (accidentelles ou non. Par exemple un cambriolage, ou encore un ancien employé qui part avec une base de données) et de ruptures de service (problème informatique et/ou chute du système).

Cela revient donc à sécuriser les locaux, installer des moyens de contrôle d’entrée, ainsi que de sécuriser les archives et les postes de travail.

Les ETI et les grands groupes : des risques RGPD plus importants

Ces mêmes règles s’appliquent aux organismes de taille plus importante, à leur échelle. Les risques sont de nature différente et ne sont pas appréciés de la même manière, étant donné le volume extrêmement conséquent de données personnelles qui peut être exploité. Ici, le risque est moins la perte ou l’effacement accidentel de donnée, mais plutôt le vol ou le blocage des données contre rançon, ainsi qu’un fort risque réputationnel.

En effet, les sanctions de la CNIL sont rendues publiques, et les scandales de fuites de données massives sont très régulièrement relayées par les réseaux sociaux ou la presse.

Ici, la documentation est donc un élément central de la conformité RGPD. Chaque procédure doit être écrite et consultable, toujours dans un objectif d’information et d’auto-responsabilisation des acteurs. Les mentions d’information et des différentes politiques appliquées (gestion des données, conservation des données) devront être facilement accessibles et compréhensibles.

Il est très important d’apporter un soin particulier, au sein des grandes structures, dans la mise en place des circuits d’application des demandes de de particuliers. Concrètement, cela revient à s’assurer qu’une réponse est apportée à chaque intéressé, et ce dans les délais imposés par les textes.

Du fait du caractère massif de leurs traitements de données, les grandes structures sont soumises à de nombreuses requêtes d’utilisateurs, et chaque oubli peut mener à une plainte auprès de la CNIL, menant elle-même à un contrôle de conformité et donc une potentielle sanction ! Chaque procédure et chaque opération doit être enregistrée, afin de s’en prévaloir lors d’éventuels contrôles.

C’est dans cette optique de transparence et de documentation que les responsables de traitement doivent tenir un registre des traitements qu’ils exploitent. Ce registre contient la liste des traitements de données – de la collecte à la destruction des données, chaque exploitation de données est documentée.

Un DPO, pour qui ? Pour quoi ?

Le Data Protection Officer (DPO) est le chef d’orchestre de la mise en conformité RGPD. Employé de la structure, ou consultant externe, son rôle est de conseiller le responsable de traitement, et de faire en sorte que l’organisation respecte la règlementation en matière de protection des données.

Le recrutement d’un DPO est obligatoire pour :

  • Tous les organismes publics,

  • Les organismes dont les activités de base les amènent à réaliser un suivi à grande échelle régulier et systématique des personnes, ou à traiter à grande échelle des données dites « sensibles ».

Le RGPD ne définit pas la notion de traitement à grande échelle mais le G29 (Groupe des autorités européennes de protection) en donne une interprétation très large. Il est conseillé cependant, même lorsque son entreprise ne rentre pas dans les critères, de nommer un DPO afin d’être guidé et conseillé dans le processus complexe de mise en conformité. Il permet à toute entreprise, quelle que soit sa taille, d’endosser le rôle l’interface avec les personnes concernées et de vous assister lors des contrôles).

Le RGPD, du fait de son universalité, est donc évidemment soumis à interprétation. Les mêmes règles s’appliquent à tous. C’est alors du ressort du DPO et du responsable de traitement de faire de la gestion du risque, et d’évaluer le degré d’effort à apporter à la mise en conformité à la réglementation en matière de protection des données.

Mise en conformité RGPD : la checklist

Pour finir, nous vous avons concocté une checklist des fondamentaux de votre mise en conformité RGPD pour bien l’appréhender. Cette liste se veut pratique et facilement applicable : elle n’est donc pas exhaustive et certaines situations peuvent exiger des actions supplémentaires.

1- Cartographier les traitements de données et « faire le tri » : Il est courant qu’une entreprise collecte des données dont elle n’a finalement pas besoin, qu’il s’agisse d’informations sur ses salariés ou sur ses clients. Le RGPD impose que tout traitement de données poursuive un objectif précis et y soit nécessaire.

2- Construire un registre des traitements : étape indispensable de votre mise en conformité, le registre des traitements dont on a déjà parlé ici constitue un des principaux documents juridiques du RGPD que vous pourriez devoir présenter à la CNIL.

3- Mener (ou non) des analyses d’impact : l’analyse d’impact est une obligation dans de nombreuses situations et fait alors également partie de la documentation à construire pour garantir votre conformité. Afin de vous aider dans ce chantier, n'hésitez pas à vous outiller d'un logiciel d'analyse d'impact.

4- Auditer votre process de recueil du consentement : récolter les données personnelles de vos utilisateurs passe souvent par le recueil de leur consentement. Or, la manière dont vous obtenez l’accord des internautes, clients, utilisateurs ou partenaires pour le traitement de leurs données est encadrée par le RGPD. Notamment, un gestionnaire de cookies conforme est une des manières bien connues de collecter le consentement RGPD.

5- Construire un processus intelligent de traitement des demandes : nous avons déjà parlé du droit des personnes dans cet article. Etablir un processus intelligent, sécurisé et automatisé de traitement des demandes garantit que vous traitiez les incidents dans un délai raisonnable, ce qui est une exigence du RGPD.

6- Mettre en conformité vos relations avec les tiers : on pense ici principalement aux sous-traitants avec lesquels vous travaillez ou au contraire à vos responsables de traitements si vous êtes vous-même sous-traitant au sens du RGPD.

Il est évident que cette liste n’est pas exhaustive et ne suffit pas à elle seule à garantir votre mise en conformité au RGPD. Vous avez besoin d’un avis extérieur sur votre situation ? Contactez nos experts !

Demander une démo de Witik

La plateforme 100% made in France qui vous permet de simplifier, accélérer et pérenniser vos différents programmes de conformité.

Vous souhaitez rester au courant des dernières actualités ? Abonnez-vous à la newsletter !