RGPD : comment mettre votre entreprise en conformité ?

Publié le 06/11/2020
Rappel : qu’est-ce que le RGPD ?
Le 25 mai 2018 est entré en application le règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, plus communément appelé RGPD.
Ce règlement est directement applicable dans tous les pays membres de l’Union Européenne.
Quel objectif ?
Le RGPD a pour vocation d’adapter la réglementation existante aux évolutions considérables des nouvelles technologies ces 20 dernières années et à la massification du commerce de données.
Quelle est la philosophie du RGPD ?
Faire en sorte que les entreprises, quelque soit leur statut juridique, les associations et les autorités publiques qui sont amenées à traiter des données à caractère personnel, deviennent des acteurs actifs et plus responsables de la gestion des données à caractère personnel qu’ils sont amenés à traiter.
Comment cela se traduit-il ?
Pour atteindre les objectifs fixés, le RGPD impose à ces structures la mise en place d’un certain nombre de mesures techniques, organisationnelles et juridiques permettant d’optimiser la protection des données à caractère personnel.
Votre structure est-elle concernée par le RGPD ?
Le RGPD s’applique à toutes structures publiques ou privées, peu importe leur taille, qui traitent des données à caractère personnel pour leur compte ou pour le compte de tiers. Les TPE et PME sont donc concernées.
Qu’est-ce qu’une donnée personnelle ?
Afin de mieux appréhender cette notion de traitement de données à caractère personnel, prenons le temps de revenir sur deux notions clés :
Les données à caractère personnel : ce sont les informations permettant d’identifier une personne physique directement (nom, prénom, etc.) ou indirectement (numéro de téléphone, de compte client, etc.)
Le traitement de données à caractère personnel : c’est une opération ou ensemble d’opérations effectuée sur des données à caractère personnel : collecte, enregistrement, organisation, conservation, modification, communication par transmission etc.
Par exemple, la mise en place d’un annuaire de salariés vous amène à traiter des données personnelles, tout comme la collecte de données sur un formulaire ou l’envoi d’une newsletter.
Quel est le domaine d’application du RGPD ?
Le domaine d’application territorial du RGPD est très large. Il s’applique dans les cas suivants :
- votre entreprise dispose d’au moins un établissement dans l’Union Européenne (U.E)
- votre entreprise propose une offre de biens ou services visant des personnes qui se trouvent dans l’U.E
Où en est votre structure vis-à-vis du RGPD ?
Les structures traitant des données à caractère personnel peuvent être classées en trois catégories :
- sous traitant
- responsable conjoint de traitement
- responsable de traitement
Afin de déterminer votre statut, vous devez préalablement déterminer si vous êtes seul à déterminer les finalités et les moyens du traitement des données à caractère personnel ou si cette détermination est effectuée de concert avec une autre structure.
RGPD : les notions de finalité et de moyens

Quelles sont vos obligations vis-à-vis du RGPD ?
Vos obligations dépendent du statut de votre structure.
Si votre structure est responsable de traitement ou co-responsable de traitement
Vous devez mettre en œuvre l’ensemble des moyens techniques, juridiques et organisationnels permettant :
- d’informer les personnes concernées (clients, salariés), des traitements mis en œuvre et portant sur leurs données;
- leur permettre d’exercer leurs droits sur les données à caractère personnel qui les concernent (information, opposition, accès, rectification, effacement, limitation, portabilité etc.);
- solliciter dans certaines situations leur consentement pour pouvoir traiter leurs données personnelles;
- déterminer avec précision les finalités des traitements de données;
- ne collecter que les données strictement nécessaires pour atteindre les finalités déterminées en amont;
- être vigilant à ce que les données collectées soient exemptes d’erreurs ou d’altérations;
- établir une politique rigoureuse de conservation des données,
- établir une politique rigoureuse de sécurisation des données;
- s’assurer que les structures effectuant une sous-traitance de leurs traitements de données à caractère personnel respectent le RGPD.
Si votre structure est sous traitante
Vous avez plusieurs obligations :
- transparence et traçabilité par rapport au responsable de traitement
- sécurité des données traitées
- assistance, alerte et conseil
D’une manière générale, les responsables, responsables conjoints et sous traitant doivent également tenir un registre des traitements détaillé (types de traitement, finalités des traitements, catégories de personnes concernées, destinataires des données, mesures de sécurité mises en place)
Comment faire pour vous mettre en conformité ?
Si votre structure est amenée à traiter un nombre important de données à caractère personnel et à grande échelle, il est fortement recommandé de faire appel à un conseil spécialisé en protection des données à caractère personnel qui encadrera de façon optimale votre processus de mise en conformité.
Dans le cas contraire, afin d’organiser votre mise en conformité, il est vivement conseillé de :
- désigner une personne au sein de votre structure qui sera chargée d’organiser, de superviser et de maintenir un processus de mise en conformité;
- cartographier vos traitements de données à caractère personnel.(Registre des traitements);
- vérifier que chaque traitement est bien conforme aux grands principes du RGPD;
- prioriser les actions à effectuer en vous concentrant notamment en 1er lieu sur les traitements les plus sensibles;
- communiquer et organiser les processus pour maintenir, à l’avenir, votre conformité au RGPD.
La Commission Nationale Informatique et Libertés, ou CNIL, a publié un dossier complet sur le RGPD.
Encore plus d'actualités
Retrouvez les dernières actualités qui vous concernent
Rédigé par COGEDIS