Qu'est-ce que le RGPD (Règlement Général sur la Protection des Données) ?
Le RGPD (Règlement UE 2016/679) est un règlement européen qui harmonise les règles de protection des données personnelles au sein de l'Union européenne. Il définit les droits des personnes concernées, les obligations des responsables de traitement et des sous-traitants, ainsi que les sanctions en cas de non-conformité.
Ce règlement repose sur plusieurs principes fondamentaux : la licéité (ou légitimité) et la loyauté du traitement. Il faut également prendre en compte la limitation des finalités, la minimisation des données, l'exactitude, la limitation de la conservation, l'intégrité et la confidentialité. Les organisations doivent également pouvoir démontrer leur conformité (principe de responsabilité).
En France, le RGPD est complété par la nouvelle loi Informatique et Libertés et son application est contrôlée par la CNIL (Commission Nationale de l'Informatique et des Libertés).
Quand le RGPD s'applique-t-il ?
Le RGPD a un champ d'application très large qui concerne la plupart des organisations.
1. Entreprises établies dans l'Union Européenne
Toute entreprise, association ou administration établie dans l'UE qui traite des données personnelles est soumise au RGPD, quelle que soit la localisation des personnes concernées. Cela inclut les TPE (Très Petites Entreprises), PME (Petites et Moyennes Entreprises), grandes entreprises, professions libérales et associations. Aucune organisation n'est exemptée en raison de sa taille.
2. Entreprises hors UE ciblant des résidents européens
Le RGPD s'applique également aux entreprises établies hors de l'UE dès lors qu'elles offrent des biens ou services à des personnes situées dans l'Union Européenne ou bien qu'elles suivent le comportement de ces personnes. Ainsi, un site marchand américain vendant en France ou une application mobile asiatique collectant des données d'utilisateurs européens sont concernés par le RGPD.
3. Traitement des données personnelles
Le RGPD s'applique à tout traitement de données personnelles, c'est-à-dire toute information permettant d'identifier directement ou indirectement une personne : nom, email, adresse IP, numéro de téléphone, données de localisation, identifiants en ligne. La notion de traitement est très large : collecte, enregistrement, organisation, conservation, consultation, utilisation, communication, effacement.
4. Sous-traitement de données
Les sous-traitants qui traitent des données pour le compte d'autres organisations sont également soumis à ce règlement. Ils doivent notamment conclure un contrat de sous-traitance conforme à l'article 28 du RGPD, tenir un registre des activités de traitement et mettre en œuvre des mesures de sécurité appropriées.
Comment être en conformité avec le RGPD ?
La mise en conformité RGPD est un processus structuré qui s’adapte à chaque organisation.
Étape 1 : Identifier les traitements de données
La première étape consiste à identifier tous les traitements de données personnelles réalisés par ton organisation : données clients, prospects, salariés, fournisseurs, etc. Pour chaque traitement, recense les catégories de données, leurs finalités, les destinataires, les durées de conservation et les mesures de sécurité qui y sont attachées. Ce travail aboutit à la constitution du registre des traitements, obligatoire pour la plupart des organisations.
Conseil d'expert : Tous les services doivent effectuer ce service, notamment les RH, le pôle marketing, commercial, informatique, etc. Chacun détient des informations sur les données utilisées au quotidien.
Étape 2 : Vérifier la conformité de chaque traitement
Pour chaque traitement identifié, vérifie qu'il repose sur une base légale valide (consentement, contrat, obligation légale, intérêt légitime), que les données collectées sont pertinentes et limitées au nécessaire, que les durées de conservation sont définies et respectées, et enfin, que les droits des personnes sont garantis.
Étape 3 : Mettre en place une documentation
Le principe d'accountability ou de responsabilité impose de documenter la conformité de l’entreprise au RGPD. Rédige les documents obligatoires : registre des traitements, politique de confidentialité, mentions d'information, contrats de sous-traitance. Prévois également les procédures internes comme la gestion des demandes de droits, la notification des violations éventuelles et les études d'impact si nécessaire.
Conseil d'expert : Conserve les preuves de ta conformité comme les consentements collectés, formations dispensées, mesures de sécurité mises en œuvre. En cas de contrôle, il faudra démontrer tes efforts pour protéger les données détenues.
Étape 4 : Sécuriser les données
Met en place des mesures techniques et organisationnelles appropriées pour garantir la sécurité des données. Cela englobe un chiffrement des informations, leur pseudonymisation, la gestion des accès, des sauvegardes et une sensibilisation du personnel. Le niveau de sécurité doit être adapté aux risques identifiés. En cas de violation de données, tu devras notifier la CNIL dans les 72 heures après la brèche.
Que doit contenir la documentation RGPD ?
La documentation RGPD comprend plusieurs éléments essentiels :
• Registre des activités de traitement : document recensant tous les traitements et leurs caractéristiques.
• Politique de confidentialité : document public expliquant comment l’entreprise traite les données en question.
• Mentions d'information : textes accompagnant chaque collecte de données.
• Politique de cookies : information sur l'utilisation des cookies et traceurs.
• Contrats de sous-traitance : accords avec les éventuels prestataires traitant des données pour le compte de l’entreprise.
• Procédures de gestion des droits : processus pour répondre aux demandes éventuelles des personnes.
• Procédure de notification des violations : processus en cas de fuite de données.
• Études d'impact (AIPD) : analyses pour les traitements à risque élevé.
Conseils pratiques pour la conformité RGPD
- Adopte une approche progressive : La mise en conformité RGPD n'est pas un projet ponctuel mais un processus continu. Commence par les traitements les plus sensibles ou les plus visibles, puis étends progressivement ta démarche. Priorise les actions en fonction des risques des personnes concernées.
- Forme des équipes : La conformité RGPD repose en grande partie sur les comportements quotidiens. Sensibilise tes collaborateurs aux bonnes pratiques comme la minimisation des données collectées, la sécurisation des fichiers et le signalement des incidents. Des formations régulières permettent de maintenir le niveau de vigilance au sein de l’entreprise.
- Désigne un référent ou un DPO : Même si la désignation d'un DPO (Délégué à la Protection des Données) n'est pas obligatoire pour toutes les organisations, avoir un référent RGPD facilite la coordination des actions de conformité. Pour les organismes publics et les entreprises traitant des données sensibles à grande échelle, le DPO est obligatoire.
Conseil d'expert : Reste informé·e des évolutions de la réglementation et des nouvelles décisions de la CNIL. Les sanctions peuvent atteindre 20 millions d'euros ou 4% du chiffre d'affaires mondial.
Points clés à retenir
Le RGPD s'applique à toute organisation traitant des données personnelles de résidents européens. La conformité repose sur plusieurs piliers : la licéité des traitements, la transparence envers les personnes, la sécurité des données et la capacité à démontrer ses efforts.
Pour être en conformité, cartographie les traitements de l’entreprise, documente la démarche en question, sécurise les données capturées et forme des équipes de collègues pour garantir cette conformité. Ces processus sont est un investissement qui protège ton organisation contre les risques de sanctions et renforce la confiance de tes clients et partenaires.
