ALLIER PRIVACY

Mieux comprendre le RGPD

travailler sur le RGPD

Le RGPD, c’est quoi exactement ?

Le Règlement Européen sur la Protection des Données (RGPD) est un texte réglementaire européen qui encadre le traitement des données sur tout le territoire de l’Union européenne (UE). Il est entré en application le 25 mai 2018.

L’objectif du RGPD est de garantir que les citoyens européens ont le contrôle sur leurs données et que celles-ci sont utilisées de manière sécurisée et légale.

Qui est concerné ?

Le RGPD s’applique à toute organisation :

Publique ou privée, quelle que soit sa taille (entreprise, ministère, administration, collectivité, association, etc.), qui traite des données personnelles pour son compte ou non 

Etablie sur le territoire de l’Union européenne ou qui, non établie sur le territoire de l’Union européenne, cible directement des résidents européens ou opère un suivi de leur comportement.

Toute organisation qui traite des données personnelles, quelle que soit sa taille ou la nature de son activité, doit appliquer le RGPD.

Une donnée personnelle, c’est quoi exactement ?

Il s’agit de toute information relative à une personne physique susceptible d’être identifiée, directement ou indirectement grâce à cette information ou un groupe d’informations.

Une donnée personnelle est aussi appelée « donnée à caractère personnel ».

Voici quelques exemples de données personnelles : nom, prénom, adresse email, numéro de téléphone, numéro de sécurité sociale, matricule RH, plaque d’immatriculation, adresse IP…

Seuls les individus sont propriétaires des données personnelles les concernant. Les organisations qui les collectent et les traitent n’en sont que les récipiendaires. Elles sont responsables de la légalité de leur utilisation et de leur protection.

Que demande le RGPD ?

Le RGPD repose sur plusieurs principes, qui ont tous pour objectif de garantir la sécurité des données personnelles en Europe. Ainsi, le traitement des données personnelles doit être :

  • licite,
  • transparent,
  • avoir une finalité,
  • être proportionnel et pertinent,
  • temporaire,
  • sécurisé.

Les données personnelles ne peuvent être collectées et traitées que dans un but précis et clairement défini, les personnes doivent être informées de l’utilisation de leurs données personnelles, leur consentement doit être recueilli lorsque nécessaire.
Vous ne pouvez collecter que les données personnelles strictement nécessaires et pour durée déterminée et raisonnable.
Enfin, vous devez vous assurer de la sécurité des données personnelles que vous traitez, que ce soit dans vos locaux, sur vos serveurs ou chez vos sous-traitants.

Qui contrôle la conformité ? Quelles sont les sanctions ?

En France, l’autorité de contrôle est la Commission Nationale Informatique et Libertés (CNIL). Elle compte plus de 280 agents et intervient sur l’ensemble du territoire.

Les contrôles peuvent survenir :

  • suite à des plaintes déposées auprès de la CNIL (par des salariés ou des clients par exemple),
  • dans le cadre des thématiques prioritaires de contrôle publiées chaque année,
  • de manière aléatoire.

Ils peuvent se dérouler :

  • à distance (contrôle de distance internet par exemple),
  • sur place (des agents de la CNIL se déplacent dans l’entreprise, sans préavis)
  • sur pièces (transmission sur demande de pièces justifiant de la conformité à la CNIL),
  • sur audition (le représentant de l’entreprise est convoqué à Paris).

Selon la gravité des non-conformités, l’échelle de sanctions va de la mise en demeure à la sanction financière (jusqu’à 4% du CA annuel). Elles peuvent être assorties d’une publication nominative.

Quelques idées reçues sur le RGPD

Les informations de contacts professionnels ne sont pas des données personnelles.

Dès lors qu’elles permettent d’identifier, d’une manière ou d’une autre, une personne physique, ce sont bien des données personnelles. Le RGPD s’applique donc.

En revanche, les informations renvoyant uniquement à une personne morale (comme un IBAN de société) ne sont pas des données personnelles.

Le RGPD est un règlement protégeant les données. Il ne concerne donc que les données numériques.

Il est vrai que le titre du RGPD peut être trompeur.

Le texte précise bien que les données personnelles doivent être protégées quel que soit le support : papier, numérique ou encore vocal (cas des centres d’appels par exemple).

Je dirige une petite entreprise ou j’exerce une profession libérale. Je ne suis pas concerné par le RGPD.

Eh bien si, vous devez respecter les obligations du RGPD.

Dans la plupart des cas, des formalités allégées suffisent. Vous êtes néanmoins responsable de la protection des données personnelles que vous traitez dans votre activité, que ce soit celles de vos collaborateurs ou de vos clients. Vous devez également être en mesure de prouver votre respect du RGPD (traçabilité).

Je n’avais pas entendu parler de mon obligation de respecter le RGPD avant aujourd’hui. Je n’ai jamais eu de problème sur ce sujet. Je ne vais pas me mettre la rate au court-bouillon maintenant !

Le RGPD s’applique à votre activité et engage la responsabilité du dirigeant.

Vous respectez les autres lois et règlements applicables. Pourquoi feriez-vous une exception, au risque de mettre en danger l’avenir de votre entreprise ?

Il vous revient d’analyser les risques encourus, en termes d’impacts financiers, organisationnels et d’image, puis de prendre des mesures pour mitiger ces risques ou les porter.

Vous pouvez aussi aborder la mise en conformité au RGPD sous un autre angle : les bénéfices en termes de confiance vis-à-vis de vos clients et de vos collaborateurs, de marque employeur, de simplification de certains de vos process ou encore d’amélioration de la qualité de vos données.

Les informations de mon fichier clients proviennent d’internet. Je peux utiliser ces informations sans contrainte, puisqu’elles sont accessibles par tous.

On pourrait le penser en effet… mais lorsque vous traitez des données personnelles, même issues d’internet, vous êtes responsable de l’usage que vous en faites et les règles du RGPD s’appliquent.

Le RGPD, c’est compliqué. Et la conformité, ça coûte cher pour pas grand-chose !

Le RGPD, comme toute règlementation, est un texte technique. Comme pour tout sujet technique, vous pouvez vous faire appuyer par un spécialiste qui maîtrise cette règlementation et qui vous conseillera sur la meilleure approche pour la mettre en application.

Que vous fassiez appel à une aide extérieure ou que vous gériez votre conformité en interne avec la nomination d’un DPO (Data Protection Officer), la mise en conformité, que ce soit au RGPD ou à d’autres normes, a un coût. Celui-ci doit être vu comme un investissement, à la fois au regard des risques potentiels dus à une non-conformité et des bénéfices que vous pouvez en retirer pour votre activité.

Seules les grandes entreprises sont contrôlées par la CNIL.

Toutes les organisations traitant des données personnelles peuvent être contrôlées, et le cas échéant sanctionnées.

Il existe même une procédure dite « simplifiée » mise en œuvre principalement pour le contrôle des petites structures (TPE, libéraux, associations, CSE). Dans ce cas, le montant des amendes prononcées ne peut excéder 20 000 euros. Ainsi, de janvier à septembre 2024, la CNIL a prononcé 28 sanctions simplifiées pour un montant total de 290 500 euros.

Il faut savoir également qu’en 2024, 7 sanctions prononcées par la CNIL sur 10 concernaient des TPE/PME.

Vous trouverez d’autres informations sur le RGPD et son application sur le site de la CNIL et sur le site de BPI France. L’EDPB (European Data Protection Board) propose également un guide en ligne pour les TPE/PME.

Pour plus d’informations sur le RGPD et comment vous mettre en conformité,
vous pouvez consulter notre Petit Lexique du RGPD ou nous contacter
pour définir la stratégie la plus adaptée à votre situation.