RGPD : comment mettre votre entreprise en conformité ?
Publié le 06/11/2020
Rappel : qu’est-ce que le RGPD ?
Le 25 mai 2018 est entré en application le règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, plus communément appelé RGPD.
Ce règlement est directement applicable dans tous les pays membres de l’Union Européenne.
Quel objectif ?
Le RGPD a pour vocation d’adapter la réglementation existante aux évolutions considérables des nouvelles technologies ces 20 dernières années et à la massification du commerce de données.
Quelle est la philosophie du RGPD ?
Faire en sorte que les entreprises, quelque soit leur statut juridique, les associations et les autorités publiques qui sont amenées à traiter des données à caractère personnel, deviennent des acteurs actifs et plus responsables de la gestion des données à caractère personnel qu’ils sont amenés à traiter.
Comment cela se traduit-il ?
Pour atteindre les objectifs fixés, le RGPD impose à ces structures la mise en place d’un certain nombre de mesures techniques, organisationnelles et juridiques permettant d’optimiser la protection des données à caractère personnel.
Votre structure est-elle concernée par le RGPD ?
Le RGPD s’applique à toutes structures publiques ou privées, peu importe leur taille, qui traitent des données à caractère personnel pour leur compte ou pour le compte de tiers. Les TPE et PME sont donc concernées.
Qu’est-ce qu’une donnée personnelle ?
Afin de mieux appréhender cette notion de traitement de données à caractère personnel, prenons le temps de revenir sur deux notions clés :
Les données à caractère personnel : ce sont les informations permettant d’identifier une personne physique directement (nom, prénom, etc.) ou indirectement (numéro de téléphone, de compte client, etc.)
Le traitement de données à caractère personnel : c’est une opération ou ensemble d’opérations effectuée sur des données à caractère personnel : collecte, enregistrement, organisation, conservation, modification, communication par transmission etc.
Par exemple, la mise en place d’un annuaire de salariés vous amène à traiter des données personnelles, tout comme la collecte de données sur un formulaire ou l’envoi d’une newsletter.
Quel est le domaine d’application du RGPD ?
Le domaine d’application territorial du RGPD est très large. Il s’applique dans les cas suivants :
- votre entreprise dispose d’au moins un établissement dans l’Union Européenne (U.E)
- votre entreprise propose une offre de biens ou services visant des personnes qui se trouvent dans l’U.E
Où en est votre structure vis-à-vis du RGPD ?
Les structures traitant des données à caractère personnel peuvent être classées en trois catégories :
- sous traitant
- responsable conjoint de traitement
- responsable de traitement
Afin de déterminer votre statut, vous devez préalablement déterminer si vous êtes seul à déterminer les finalités et les moyens du traitement des données à caractère personnel ou si cette détermination est effectuée de concert avec une autre structure.
RGPD : les notions de finalité et de moyens
Quelles sont vos obligations vis-à-vis du RGPD ?
Vos obligations dépendent du statut de votre structure.
Si votre structure est responsable de traitement ou co-responsable de traitement
Vous devez mettre en œuvre l’ensemble des moyens techniques, juridiques et organisationnels permettant :
- d’informer les personnes concernées (clients, salariés), des traitements mis en œuvre et portant sur leurs données;
- leur permettre d’exercer leurs droits sur les données à caractère personnel qui les concernent (information, opposition, accès, rectification, effacement, limitation, portabilité etc.);
- solliciter dans certaines situations leur consentement pour pouvoir traiter leurs données personnelles;
- déterminer avec précision les finalités des traitements de données;
- ne collecter que les données strictement nécessaires pour atteindre les finalités déterminées en amont;
- être vigilant à ce que les données collectées soient exemptes d’erreurs ou d’altérations;
- établir une politique rigoureuse de conservation des données,
- établir une politique rigoureuse de sécurisation des données;
- s’assurer que les structures effectuant une sous-traitance de leurs traitements de données à caractère personnel respectent le RGPD.
Si votre structure est sous traitante
Vous avez plusieurs obligations :
- transparence et traçabilité par rapport au responsable de traitement
- sécurité des données traitées
- assistance, alerte et conseil
D’une manière générale, les responsables, responsables conjoints et sous traitant doivent également tenir un registre des traitements détaillé (types de traitement, finalités des traitements, catégories de personnes concernées, destinataires des données, mesures de sécurité mises en place)
Comment faire pour vous mettre en conformité ?
Si votre structure est amenée à traiter un nombre important de données à caractère personnel et à grande échelle, il est fortement recommandé de faire appel à un conseil spécialisé en protection des données à caractère personnel qui encadrera de façon optimale votre processus de mise en conformité.
Dans le cas contraire, afin d’organiser votre mise en conformité, il est vivement conseillé de :
- désigner une personne au sein de votre structure qui sera chargée d’organiser, de superviser et de maintenir un processus de mise en conformité;
- cartographier vos traitements de données à caractère personnel.(Registre des traitements);
- vérifier que chaque traitement est bien conforme aux grands principes du RGPD;
- prioriser les actions à effectuer en vous concentrant notamment en 1er lieu sur les traitements les plus sensibles;
- communiquer et organiser les processus pour maintenir, à l’avenir, votre conformité au RGPD.
La Commission Nationale Informatique et Libertés, ou CNIL, a publié un dossier complet sur le RGPD.
Encore plus d'actualités
Retrouvez les dernières actualités qui vous concernent
Remboursement TIC / TICGN / TICPE, c'est ici et maintenant !
Le remboursement TIC concerne le gazole non routier, le fioul lourd, le gaz naturel et le GPL utilisé par les agriculteurs pour leurs exploitations.Fin de l’ARENH : anticipez votre contrat d’électricité
L’ARENH disparaît en 2025. Profitez d’un marché bas pour sécuriser vos prix d’électricité et de gaz à long terme.Fidélisez vos clients sans casser votre budget
Fidéliser un client existant coûte 5 à 7 fois moins cher que d’en conquérir un nouveau. Pourtant, beaucoup d’entreprises investissent massivement dans la prospection et oublient l’essentiel : la relation client au quotidien.Intéressement : le versement d’avances possible sous conditions
L’accord d'intéressement ou de participation peut désormais prévoir le versement d'avances, en cours d’exercice. La mesure est applicable depuis juillet 2024.Partage de la valeur
L’obligation de mettre en place un dispositif de partage de la valeur est applicable à compter de l’année 2025. Elle s’impose si certaines conditions sont remplies.Déléguer son activité agricole : quelle solution choisir ?
Déléguer une activité agricole peut se faire de manière partielle (embauche, recours à une CUMA ou entraide) ou totale. Découvrez les impacts juridiques, fiscaux et sociaux.L’exonération pour l'emploi de travailleurs occasionnels pérennisée et renforcée
Le chef d’exploitation bénéficie d’exonérations de charges sociales pour l’embauche de travailleurs occasionnels. Cette mesure est étendue, pérennisée et renforcée.Baisse du plafond des IJSS maladie
Un décret publié le 21 février 2025 baisse le salaire de référence pris en compte pour le calcul des indemnités journalières de la Sécurité sociale (IJSS) maladie.Facturation électronique : que des avantages !
La réforme se rapproche : à partir du 1er septembre 2026, toutes les entreprises devront se conformer à la facturation électronique. Mais au-delà de l’obligation, c’est surtout une opportunité pour simplifier votre quotidien, gagner en efficacité et sécuriser vos échanges.TPE – PME : Profitez de l’aide de l’ADEME pour anticiper les futures obligations environnementales
L’ADEME a lancé un dispositif d’aide aux études photovoltaïques valable jusqu’au 31/12/2025 destinées aux entreprises de toute taille. Profitez de cette aide pour anticiper les obligations environnementales et transformer la transition énergétique en levier de croissance.TPE – PME : Profitez de l’aide de l’ADEME pour anticiper les futures obligations environnementales
L’ADEME a lancé un dispositif d’aide aux études photovoltaïques valable jusqu’au 31/12/2025 destinées aux entreprises de toute taille. Profitez de cette aide pour anticiper les obligations environnementales et transformer la transition énergétique en levier de croissance.Fluxéo : Et si la facture électronique devenait votre meilleur atout ?
Dès 2026, la réforme s’impose. Avec l’offre digitale Fluxéo, elle devient un accélérateur de performance pour piloter votre activité avec efficacité.
Rédigé par COGEDIS