Le Règlement général sur la protection des données (RGPD) est un texte réglementaire européen développé pour encadrer la collecte et le traitement des données personnelles de manière harmonisée sur tout le territoire de l’Union Européenne.
En tant que commerçant ou petite entreprise, en vous conformant aux obligations du RGPD, vous renforcez la confiance de vos partenaires et clients, vous limitez les risques d'amendes, de sanctions ou de mise en demeure pour non-conformité et vous réduisez les risques relatifs à la cybersécurité.
RGPD : qu’est-ce qu’une donnée personnelle ?
Il est nécessaire de définir la notion de donnée personnelle pour comprendre ce que recouvre le « traitement de données personnelles ».
Une « donnée personnelle » (ou « donnée à caractère personnel ») est une information qui permet l’identification directe ou indirecte d’une personne physique identifiée ou identifiable :
- prénom, nom de famille, numéros de téléphone des clients, des employés ou encore des fournisseurs ;
- numéros d’identification (numéro de client, numéro d’employé) ;
- référence de réservation ;
- adresses e-mail, données de localisation ;
- historique de navigation d’une personne ;
- historique d’achat et reçus d’un client ;
- photos, vidéos et enregistrements audio contenant des images ou des sons d’individus.
Peu importe que l'information soit publique ou confidentielle et peu importe le support sur lequel se trouve l'information (formulaire papier, clé USB, disque dur, caméra, etc.).
Certains types de données personnelles, appelées « données sensibles » (données qui révèlent des informations sur la santé d’une personne, son appartenance syndicale, ses croyances religieuses, son origine ethnique, etc.), bénéficient d’une protection renforcée.
RGPD : qu’est-ce qu’un traitement de données personnelles ?
Lorsque des opérations portant sur des données personnelles sont effectuées par votre entreprise (collecte, enregistrement, conservation, modification, consultation, diffusion, etc.), on considère qu’il s’agit d’un traitement de données personnelles. Un traitement de données personnelles n’est pas nécessairement informatisé, les fichiers papier sont également concernés et doivent être protégés dans les mêmes conditions.
Par exemple, sont considérés comme un traitement de données personnelles :
- la création et la tenue d’un fichier de clients (pour éditer les factures, pour effectuer des livraisons, pour proposer une carte de fidélité, etc.) ;
- la collecte de coordonnées de prospects via un questionnaire ;
- la mise à jour d’un fichier de fournisseurs ;
- la constitution d’un dossier informatique contenant des données de ressources humaines (bulletins de paie, contrats de travail, CV et lettres de motivation...) ;
- la conservation d’adresses IP ;
- l’enregistrement de vidéosurveillance dans un magasin
D’une manière générale, dès qu'une entreprise emploie du personnel, elle est amenée à effectuer un traitement de données personnelles des employés et est donc concernée par le RGPD.
RGPD : les grands principes que le traitement des données doit respecter
Pour être conforme au RGPD, le traitement des données doit obéir aux principes suivants :
- Le traitement des données doit être licite : il doit être fondé sur l'une des 6 bases légales fixées par le RGPD, notamment le consentement de la personne concernée, l'exécution d'un contrat ou le respect d'une obligation légale ;
- Le traitement des données doit être transparent : la personne dont les données personnelles sont collectées doit être informée de la collecte et de sa finalité, ainsi que des droits dont elle dispose sur ses données (accès, rectification, portabilité, effacement...). Le plus souvent, le responsable du traitement des données doit recueillir le consentement de la personne avant de mettre en œuvre le traitement de ses données personnelles ;
- Le traitement des données doit avoir une finalité : prospection commerciale, suivi de relations clients, ressources humaines, etc. ;
- Le traitement des données doit être proportionnel et pertinent : seules les données strictement nécessaires à la réalisation de l’objectif peuvent être collectées ;
- Le traitement des données doit être temporaire : la conservation des données personnelles doit être limitée dans le temps, compte tenu de la finalité pour laquelle ces données ont été collectées ;
- Le traitement des données doit être sécurisé : des garanties solides en matière de protection des données personnelles (telles que des mesures de cybersécurité appropriées) doivent être mises en place. Ces mesures doivent empêcher la divulgation accidentelle, non autorisée ou illégale, la perte, la destruction ou l’endommagement des données personnelles.
RGPD : qui est responsable de la conformité au RGPD du traitement des données ?
Le représentant légal de l'entreprise (chef d'entreprise, gérant, etc.) est désigné « responsable du traitement ». Il arrive que le responsable du traitement ait recours à un sous-traitant chargé de traiter les données pour le compte du responsable du traitement (hébergement de données, maintenance informatique, service d’envoi de messages de prospection commerciale, etc.).
RGPD : quelles sanctions en cas de non-respect des obligations du RGPD ?
Le fait de ne pas informer la personne auprès de laquelle sont recueillies des données est puni d'une amende de 1 500 € pour les entrepreneurs individuels et 7 500 € pour les sociétés.
Lorsque le recueil de consentement est obligatoire, le traitement de données personnelles obtenues sans le consentement de la personne concernée est puni pénalement de 5 ans d'emprisonnement et 300 000 € d'amende pour les entrepreneurs individuels et 1 500 000 € pour les sociétés.
Par ailleurs, des sanctions peuvent être prononcées par la CNIL, du simple rappel à l’ordre ou injonction avec astreinte jusqu’à l’amende administrative.
RGPD : les actions à mener pour la mise en conformité au RGPD
Le RGPD détermine les obligations d’information et de transparence à l’égard des personnes dont vous traitez les données (clients, fournisseurs, employés, etc.). Voici les 4 actions principales à mener afin de garantir une utilisation des données personnelles collectées transparente et respectueuse de la vie privée des personnes concernées.
1 - Établissez un registre des activités de traitement des données personnelles
Au sein de votre entreprise, désignez un responsable des données personnelles (par exemple, le chef d’entreprise ou le/la comptable).
Son rôle est, en particulier, de constituer et de mettre à jour le registre des activités de traitement des données. Ce registre, qui doit lister tous vos fichiers de traitements de données, vous permettra d’avoir une vision d’ensemble sur vos traitements de données. Identifiez les activités principales de votre entreprise qui nécessitent la collecte et le traitement de données : le recrutement, la gestion de la paie, la formation, la gestion des badges et des accès, la gestion des clients prospects, etc.
Chacune de ces opérations de traitement doit être décrite dans le dossier avec les informations suivantes : la finalité du traitement, les catégories de données traitées, qui a accès aux données, la durée de conservation et, dans la mesure du possible, une description générale des mesures de sécurité.
Le registre doit être tenu à jour sous forme papier ou électronique et doit pouvoir être produit en cas de contrôle.
Pour pouvez utiliser le modèle de registre proposé par la CNIL. N’hésitez pas également à vous rapprocher de l’éditeur de vos logiciels comptables et financiers et de votre prestataire de site internet, le cas échéant.
2 – Faites le tri dans vos données personnelles
Pour chaque fiche de registre créée, vérifiez que :
- vous ne collectez que les données vraiment nécessaires à votre activité (par exemple, il n’est pas utile de savoir si vos salariés ont des enfants, si vous n’offrez aucun service ou rémunération attachée à cette caractéristique) ;
- vous ne traitez aucune donnée dite « sensible » (ou, si c’est le cas, que vous avez bien le droit de les traiter) ;
- seules les personnes habilitées ont accès aux données dont elles ont besoin ;
- vous ne conservez pas vos données au-delà de ce qui est nécessaire.
3 – Respectez les droits des personnes dont les données sont collectées
À chaque fois que vous procédez à une collecte des données personnelles, le support utilisé (formulaire, questionnaire, etc.) doit comporter des mentions d’information (mentions légales RGPD) : pourquoi une collecte des données personnelles, qui a accès aux données, les modalités selon lesquelles les personnes concernées peuvent exercer leurs droits, etc. Des exemples de mentions légales RGPD sont disponibles sur le site internet de la CNIL.
Les personnes dont vous traitez les données ont des droits sur leurs données : droit d’accès, de rectification, d’opposition, d’effacement, à la portabilité et à la limitation du traitement. Vous devez leur donner les moyens d’exercer effectivement ces droits. Si vous disposez d’un site web, prévoyez un formulaire de contact spécifique, un numéro de téléphone ou une adresse de messagerie dédiée. Si vous proposez un compte en ligne, donnez à vos clients la possibilité d’exercer leurs droits à partir de leur compte.
Votre registre des activités de traitement vous permet également de garder la preuve que les personnes incluses dans votre fichier vous ont autorisé à récolter leurs données personnelles.
Par exemple, dès lors que vous recueillez des données en ligne ou que vous envoyez des informations commerciales via une newsletter, vous devez obtenir le consentement du client via une case à cocher spécialement configurée. De même, lors de la création d’un compte client en boutique, le client doit remplir un formulaire papier.
À noter : le recueil de consentement est toujours obligatoire en cas d’utilisation de cookies non essentiels au fonctionnement du service (ciblage publicitaire, par exemple). Pour en savoir plus : voir le dossier de la Cnil sur les règles applicables à la gestion des cookies.
4 – Assurez la protection des données personnelles collectées
Vous devez minimiser les risques de pertes de données personnelles ou de piratage des données personnelles grâce à la mise à jour régulière de vos antivirus et logiciels, à l’utilisation de mots de passe complexes et au changement régulier de ces mots de passe et à la mise en place d’une procédure de sauvegarde et de récupération des données en cas d’incident. Le responsable du traitement des données personnelles est chargé de vérifier la mise en œuvre de ces mesures de protection des données personnelles. Pour en savoir plus, consultez le Guide sécurité des données personnelles de la CNIL.
Si des données personnelles traitées par votre entreprise ont été, de manière accidentelle ou illicite, détruites, perdues, altérées, divulguées, ou si vous avez constaté un accès non autorisé à des données, vous devez signaler à la CNIL cette violation des données personnelles dans les 72 heures s’il y a un risque pour les droits et libertés des personnes concernées. Cette notification s’effectue en ligne sur le site internet de la CNIL.
Pour aller plus loin :