Les nouvelles règles du Règlement Général de Protection des Données
Si le RGPD a des résonnances particulières dans les cabinets d’expertise comptable, qui manipulent quotidiennement des données clients et sont donc en première ligne, les grands principes s’appliquent à toutes les entreprises quelles quoi soient leur taille ou leur secteur d’activité.
Transposition d’une règle européenne, le RGPD s’applique à toutes les entreprises européennes à compter du 25 mai de cette année. Votre cabinet FIDSUD fait le point sur les obligations et les nouveautés introduites par cette nouvelle règle.
La donnée ???
Commencons par une définition : une donnée personnelle correspond à toute information identifiant une personne physique directement (nom, prénom, image, vidéo…) ou indirectement (numéro de téléphone, numéro de compte bancaire, empreinte…). La donnée n’est pas forcément numérique : pensez aussi à vos archives ! Numéros de téléphone, adresses, coordonnées, âges… Toute information sur vos clients, salariés, partenaires et autres, quelle que soit sa forme, est concernée. Dans le contexte RGPD, seules sont exclues :
- les données anonymisées ;
- les données concernant les personnes morales.
Chaque entreprise a donc, nécessairement, des données qui rentrent dans le champ d’application de la nouvelle norme !
Les obligations du RGPD : 6 principes
Pour comprendre la logique introduite, voici 6 grands principes :
- Transparence, loyauté : le traitement des données doit avoir une fondement valable et une finalité autorisée. Les personnes physiques doivent être informées de ce traitement, qui doit correspondre à la description qui en est faite
- Limitation des finalités : le responsable de traitement doit déterminer les finalités du traitement et s’y tenir
- Minimisation des données : les données collectées doivent être celles qui sont strictement nécessaires au traitement, et pas plus
- Exactitude : les données doivent être exactes et à jour
- Limitation de la conservation : quand les données personnelles ne sont plus nécessaires au traitement, elles doivent être supprimées ou anonymisées.
- Intégrité et confidentialité : une politique de sécurisation des données doit être prévue et l’accès aux données doit être limité aux seules personnes dont les missions le justifient
Le RGPD, c’est donc un changement d’approche par rapport à la donnée, changement que la CNIL conseille fortement d’incarner dans l’entreprise avec la désignation d’un Délégué à la Protection des Données (ou DPO – Data Protection Officer).
Nous ne rentrons pas dans le détail des éléments pratiques à mettre en place, qui sont trop vastes pour être couverts par un seul article, et qui couvrent le site web de l’entreprise, son CRM, ses process de stockage des données et de GED, sa sécurité informatique… Vous retrouverez en bas de cet article les liens utiles vous permettant d’aller plus loin.
Et si vous n’êtes pas prêts ?
La CNIL est chargé de contrôler les entreprises et à les aider à se mettre en conformité. On estime que 75% des entreprises françaises ne seront pas prêtes au 25 mai à respecter les obligations du RGPD… Et les sanctions prévues sont très lourdes, avec des amendes pouvant aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires global, la somme la plus élevée s’appliquant !
Pour nuancer, la CNIL a communiqué sur le fait qu’elle ne lancera pas de contrôle immédiatement pour laisser aux entreprises le temps de s’adapter, et que ses effectifs sont dans une optique d’accompagner et de diffuser les bonnes pratiques plutôt que de punir les contrevenants. Toutefois n’oubliez pas que l’obligation légale demeure dès le 25 mai 2018 !
Pour en savoir plus
Voici les liens utiles pour mettre en place le RGPD :