Vos applications      EN   |      FR   |   DE

Expertise comptable - Audit - Conseil - Juridique - Social - International

Cet article est paru dans le n°12 de L'EntrePreneur, l'actualité du chef d'entreprise.

Le RGPD : tout ce que vous devez savoir


Le Règlement Général sur la Protection des Données (RGPD) est entré en vigueur depuis le 25 mai 2018. Pour de nombreuses entreprises, ce règlement est encore méconnu ou mal appliqué.
 

SOMMAIRE
LE RGPD, OÙ EN ÊTES-VOUS ?
Etes-vous concerné ? Quel est votre degré d’exposition ?
Faites le test et contactez nos spécialistes en protection des données personnelles.
 

 
Le RGPD : pourquoi ?
Pour les entreprises, le modèle économique basé sur l’exploitation des données est un des enjeux majeurs des prochaines années. Un nombre croissant de données est aujourd’hui collecté, structuré, et analysé afin de permettre aux entreprises de comprendre, prévoir et parfois même agir sur leur environnement économique. Ces analyses sont désormais au cœur de l’élaboration de leurs stratégies.
 
Dans un contexte d’évolution technologique et de mondialisation, il a paru nécessaire au législateur d’encadrer l’exploitation des données à caractère personnel afin de veiller au respect des libertés individuelles. 
 
Aujourd’hui, de nombreuses technologies permettent de collecter des informations sur les individus (géolocalisation, réseaux sociaux, achat en ligne, traceurs de navigation internet, objets connectés ...). La combinaison et l’analyse de ces données pour un même individu peuvent aisément permettre d’établir un profil, de lui attribuer une “étiquette” d’après laquelle un service plutôt qu’un autre peut lui être proposé, ou une information plutôt qu’une autre peut lui être transmise.
 
Certaines dérives ont vu le jour, c’est le cas de l’affaire Cambridge Analytica. Cette société est accusée d’avoir récolté les profils Facebook de millions d’utilisateurs afin de cibler des messages politiques, dans le but d’orienter leurs votes lors de la campagne présidentielle américaine de 2016. De même, le projet chinois de « crédit social » pour lequel chaque citoyen est noté en fonction de son comportement, fait débat. Les comportements des citoyens sont ainsi analysés en fonction des données collectées, notamment via leurs activités sur les réseaux sociaux, les enregistrements des caméras de surveillance, leurs habitudes de navigation sur internet, l’analyse de leurs achats et de leurs déplacements. Les citoyens les moins bien notés sont sanctionnés par des refus de prêts, une interdiction de voyager ou des niveaux de services différents dans les entreprises privées.
 
Un débat éthique entoure donc la notion de protection des données personnelles. Ce même débat peut amener à opposer les notions de sécurité et de liberté.
 
Chacun doit être libre de consentir ou non à l’utilisation de ses données, de choisir qui peut les utiliser et à quelles fins.
 
Le RGPD a pour but de protéger les individus afin de garantir le respect des libertés individuelles. Il instaure une harmonisation des règles en la matière au niveau européen. La protection des données personnelles n’est pas nouvelle, avant la mise en place du RGPD, c’était la Loi informatique et Liberté qui s’appliquait et qui s’applique encore pour certains points.
 
Des études révèlent une sensibilisation accrue des Français au sujet de leurs données personnelles : 
 
  • 85% des français se disent préoccupés par la protection de leurs données personnelles (4% de plus qu’en 2014).  Ce chiffre monte à 90% lorsqu’il s’agit des données mises en ligne (5% de plus qu’en 2014). (étude CSA – Septembre 2017 (ETUDE CSA) )
  • 70% des français sont plus sensibles à la question de la protection de leurs données personnelles et ils sont 59% à penser que les mesures actuellement mises en œuvre pour les protéger sont insuffisantes (étude IFOP – Novembre 2018).
  • 46% des français considèrent avoir subis des abus dans l’utilisation de leurs données (transmission à des tiers principalement) et 77% se disent près à contacter la CNIL s’ils constatent de nouveau un abus. A noter : en 2018, la CNIL a enregistré 11 077 plaintes, soit 34% de plus qu’en 2017.
La protection des données personnelles est un enjeu sociéta, pour lequel les consommateurs sont prêts à faire valoir leurs droits.
 
Le RGPD : pour qui ?
Sont concernées par le RGPD, toutes les entreprises établies en Europe ou visant des personnes se trouvant sur le territoire de l’Union Européenne. 
 
Cette réglementation concerne également les GAFA lorsque ceux-ci s’adressent à des individus présents sur le territoire. Elle vient rééquilibrer les rapports entre les entreprises étrangères et françaises qui n’étaient jusqu’alors, pas soumises aux mêmes règles concernant l’exploitation de ces données.
 
Une entreprise peut être considérée comme responsable de traitement, co-responsable de traitement ou sous-traitante. Elle est responsable des données qui sont transmises et doit être en mesure de démontrer, à tout moment et par tout moyen qu’elle est conforme aux attentes du RGPD.
 
En tant que sous-traitante, elle doit désormais présenter des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées, afin que le traitement réponde aux exigences du règlement et garantisse la protection des personnes concernées. 
 
Le responsable de traitement est le garant de la chaine. Face à un sous-traitant non conforme, celui-ci peut se voir dans l’obligation de mettre fin à cette collaboration.
 
Concrètement le RGPD, ça change quoi ?
Le RGPD vient renforcer le droit des individus en responsabilisant les acteurs traitant les données. Il introduit le principe d’Accountability : « L’obligation pour les entreprises de mettre en œuvre des mécanismes et procédures internes permettant de démontrer le respect des règles relatives à la protection des données ». 
 
Le responsable de traitement doit s’assurer de sa mise en conformité, de son maintien constant et doit se donner les moyens de le prouver.  Il est important de documenter sa conformité, d’auditer régulièrement le système et de sensibiliser les équipes. Cette démarche est assez proche d’une démarche qualité et instaure une notion d’amélioration continue.
 
Dans son contenu, le RGPD est une réglementation assez complexe, pour laquelle il convient de se référer sur 50 points à la loi Informatique et Liberté, une expertise sur le sujet est donc nécessaire. Néanmoins, retenir les 7 grands principes suivants permet d’en comprendre l’essentiel : 
 
  • La licéité : le traitement effectué sur la donnée doit être licite. Cette condition est remplie dans les principaux cas par la nécessité relative à des obligations légales, à l’exécution d’un contrat, ou par le recueil d’un consentement.
Exemple : collecter les noms, prénoms, adresse, n° de téléphone des clients pour livrer leur commande est tout à fait normal dans le cadre de l’exécution d’un contrat. Cependant, collecter des informations sur un client potentiel afin de lui transmettre ultérieurement des propositions commerciales est soumis à son consentement préalable.
  • La finalité du traitement : le traitement de la donnée doit avoir un objectif précis. Pourquoi est-ce que je collecte cette donnée ?
Exemple : collecte des informations afin de pouvoir émettre une facture, livrer de la marchandise ou dans le cadre d’une démarche commerciale. Il faut être vigilant à ne pas détourner la finalité initiale. Par exemple, il est interdit d’utiliser le fichier des inscriptions scolaires d’une commune à des fins de communication politique.
  • Pertinence et proportionnalité des données : les données doivent être :

- Adéquates, pertinentes et non excessives : collecte des données nécessaires à la finalité recherchée (pas une multitude de données « au cas où »).

Exemple : recueillir le n° de sécurité sociale d’un candidat à l’embauche n’est pas nécessaire, cet élément le deviendra seulement s’il est embauché. Collecter la date de naissance peut être excessif si la finalité est de connaitre la tranche d’âge de l’individu.

- Exactes, complètes et mises à jour : vos bases de données doivent être à jour. 

Il est convenu de disposer de données sur les clients et seulement sur les clients, sinon quel est l’intérêt de les conserver ? 
Le data-cleaning est une étape indispensable à tout projet data. Son objectif est de disposer d’une base de données propre afin qu’elle puisse être exploitée. Pour donner du sens à la donnée, il est indispensable d’en assurer un niveau de qualité minimum. Cette analyse doit permettre d’améliorer l’efficacité commerciale et marketing.
De même, une meilleure maitrise des données permettra d’optimiser les coûts matériels et humains relatifs à leur maintien (espace stockage, mise à jour, logiciels). Si une donnée ne sert pas, elle doit être supprimée.
 
  • Conservation limitée des données : cette durée est déterminée en fonction de la finalité de chaque traitement, elle peut donc varier selon les cas.
Les données sont conservées en base active le temps de l’utilisation opérationnelle, puis elles peuvent être archivées jusqu’à leur terme pour ensuite être détruites. Il faut donc instaurer un système d’archivage et de destruction des données, permettant d’en maitriser la durée de vie. Disposer d’alertes permet d’identifier les données à supprimer afin de libérer de l’espace dans les systèmes, ou d’agir pour leur donner un nouveau cycle de vie.
 
  • Obligation de sécurité : l’entreprise doit prendre toutes les mesures techniques et organisationnelles afin d’assurer la sécurité de ses données (déformation, endommagement, accès par des tiers non autorisés). 
L'entreprise est garante du respect de l’intégrité et de la confidentialité des données. Elle peut par exemple, mettre en place une gestion stricte des habilitations et droit d’accès (informatiques et physiques). Elle doit également sécuriser les traitements qu’elle soustraite en encadrant les relations avec ses sous-traitants par des clauses de confidentialité des données répondant aux exigences du RGPD. En tant que responsable de traitement, elle doit s’assurer que ses sous-traitants sont fiables.
Dans un contexte où l’économie relative aux données personnelles devrait atteindre d’ici 2020 une capitalisation d’une valeur de 1000 milliards d’euros par an (source : boston Consulting Group), il n’est pas difficile de comprendre à quel point ce domaine va continuer d’alimenter toutes sortes d’attaques malveillantes. La Cyber sécurité est un enjeu primordial pour les entreprises.
 
  • Renforcement de la transparence et exercice des droits facilités : l’exercice du droit du consommateur doit être facilité par la mise en place d’informations compréhensibles, concises et facilement accessibles. 
Les droits d’accès, d’opposition et d’effacement sont toujours d’actualité et également renforcés par la simplification à les faire valoir. De nouveaux droits sont nés, c’est le cas du :
 
- Droit à la limitation du traitement : il peut être demandé dans certains cas, il entraine le gel temporaire du traitement des données.
 
- Droit à la portabilité des données : il permet aux individus de récupérer les données les concernant, sous un format structuré et lisible par machine, afin de les transmettre à un autre responsable de traitement. Ce droit n’est pas exerçable dans tous les cas, mais il pourrait l’être dans le cadre d’une demande de prêt par exemple, avec un dossier qui serait directement transmis entre organismes bancaires.
 
Ces grands principes amènent inévitablement à devoir établir une cartographie des données et d’identifier pour chacune :
 
  • Quelle est la finalité ?
  • Qui est le responsable opérationnel ?
  • De quelle catégorie de données s’agit-il ? (état civil, vie personnelle, vie professionnelle, informations économiques et financières, données de localisation, etc...)
  • Quelle est la durée de conservation ?
  • Qui en est destinataire ? (sous-traitants, services internes, etc...)
  • Où sont hébergées les données ?
  • Quelles sont les mesures de sécurité prises ?
Il convient ensuite :
 
  • d’établir un diagnostic afin d’identifier les cas de non-conformité avec le RGPD
  • de définir et prioriser les mesures correctives et les actions à mettre en œuvre
Désormais, il est important d’intégrer cette notion de conformité (compliance) en amont de chaque nouveau projet de traitement de données personnelles, c’est le principe de “Privacy by design”. Aucun projet Data ne peut aujourd’hui être envisagé sans intégrer pleinement et en amont, les contraintes liées au règlement.
Le principe de “Privacy by default” garanti quant à lui, le plus haut niveau de confidentialité des données traitées, en prévoyant différentes mesures :
 
  • Principe de minimisation : ne sont collectées que les données strictement nécessaires au regard de la finalité
  • Des analyses d’impact afin d’identifier les risques éventuels pour les personnes concernées
  • Le paramétrage de confidentialité le plus élevé par défaut : si l’utilisateur souhaite bénéficier de fonctionnalités qui nécessitent l’accès à ses données, il sera informé des risques et aura la possibilité de modifier lui-même le paramétrage.
  • La pseudonymisation ou l’anonymisation des données.
Ces mesures devront bien sûr être adaptées au degré de sensibilité des données détenues.
 
Les manquements sont désormais sévèrement punis :
 
  • 10 millions d’euros ou 2% du CA pour : 
- Non-respect des règles applicables au consentement des enfants
- Absence de protection « by design » et « by default »
- Défaut de sécurité, absence de notification des violations de données
- Absence de registre des traitements
- Non-respects des règles relatives à la sous-traitance
 
  • 20 millions d’euros ou 4% du CA pour :
- Non-respect des principes « de base : loyauté, licéité, transparence, finalités, minimisation des données, finalités, données sensibles …
- Non-respect des règles régissant le consentement
- Violation des disposition relatives aux droits des personnes
- Transfert illégal de données à caractère personnel
- Non-respect d’une injonction
 
Dans certains cas, des sanctions pénales peuvent également être prononcées (jusqu’à 300 000€ d’amendes et 5 ans d’emprisonnement).
 
Ce règlement n’interdit pas aux entreprises d’exploiter et de disposer des données à caractère personnel. Il encadre simplement les usages afin de garantir le respect de la vie privée.
 
Les données des clients et des salariés sont des données stratégiques, en assurer une maitrise accrue permet d’augmenter la performance d’une entreprise. La sécurité de ces données, doit être au cœur des préoccupations de chaque entreprise.
 
Où en sont les entreprises avec le RGPD ?
D’après une étude menée auprès de 600 entreprises (de 500 à 5000 salariés) de l’informatique, du droit et de la protection des données, 1 mois après l’entrée en vigueur du règlement, l’état des lieux était le suivant (étude Cabinet Dimensional Research – juillet 2018) :
 
  • 27% des entreprises européennes se déclarent conformes au RGPD
  • 33% sont avancées dans la mise en œuvre du RGPD, 22% ont commencé, 7% l’ont planifié mais n’ont pas encore commencé, 11% travaillent sur le plan préliminaire, 2% n’ont pas du tout commencé.
Les entreprises présentes dans des secteurs moins exposés ou de tailles plus modestes sont elles aussi concernées, mais sont beaucoup moins avancées dans leur mise en conformité. Elles se sentent peu ou pas concernées par cette réglementation. Néanmoins, de nombreuses demandes émanant de grands groupes ou de l’administration publique auprès de leurs sous-traitants accélèrent la prise de conscience et la mise en place de démarche.
 
Le programme de contrôle de la CNIL sera cette année concentré sur :
 
  • Une stratégie de contrôle des plaintes reçues
  • L’exercice de la pratique des droits
  • Le contrôle de grandes thématiques qui concernent tous les secteurs : répartition des responsabilités entre les sous-traitants et donneurs d’ordre, et données des mineurs.
Ecrit par Krystel Ywan, Directrice du Département Protection des Données Personnelles, cet article a été publié dans l'EntrePreneur de Mai 2019.
 
Nous contacter
Groupe
SFC
Siège social
04 78 17 17 17
CLIQUEZ ICI
CLIQUEZ ICI
Actualités
24-07-2019   Social
FLASH SOCIAL N°28 - JUILLET 2019
[+]LIRE LA SUITE
08-07-2019   Expertise comptable
COMMENT PRÉPARER LA PAIE DE VOS SAISONNIERS ?
[+]LIRE LA SUITE
02-07-2019   Social
QUELLES ALTERNATIVES AU SALAIRE POUR FIDÉLISER SES COLLABORATEURS ?
[+]LIRE LA SUITE
Publications
21-08-2019   Expertise comptable
FISCALITÉ DES ENTREPRISES :
IMPÔT SUR LES SOCIÉTÉS
[+]LIRE LA SUITE
07-08-2019   Social
MESURES SOCIALES
CHOISIR SON AVENIR PROFESSIONNEL
[+]LIRE LA SUITE
31-07-2019   Social
MESURES SOCIALES
SANTÉ ET SÉCURITÉ AU TRAVAIL
[+]LIRE LA SUITE
Ils témoignent
Information

Les cookies nous permettent de personnaliser le contenu et les annonces, d'offrir des fonctionnalités relatives aux médias sociaux et d'analyser notre trafic. Nous partageons également des informations sur l'utilisation de notre site avec nos partenaires de médias sociaux, de publicité et d'analyse, qui peuvent combiner celles-ci avec d'autres informations que vous leur avez fournies ou qu'ils ont collectées lors de votre utilisation de leurs services. Vous consentez à l’enregistrement de nos cookies sur votre terminal si vous continuez à utiliser notre site Web. Vous pouvez refuser leur dépôt dans LA GESTION DES COOKIES.