RGPD… Une révolution, vraiment ?

Date de rédaction : 18 décembre 2020

En France, la protection des données n’est pas une idée si nouvelle que ça. En effet, cela fait 40 ans que cette préoccupation existe en France depuis la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ; donc une naissance aux prémisses de l’informatique et qui a impulsé la création de la CNIL.

Découvrez les autres articles

« Et bien pourquoi le RGPD me diriez-vous ? »

Le RGPD est une obligation au niveau européen et plus précisément pour le monde entier dès lors qu’elle touche les données personnelles d’un résidant européen. Donc le changement est d’abord de taille : tout le monde est concerné, même Google, Facebook et autres acteurs du numérique loin de nos frontières européennes.

Le 2^ème changement notable est de forme. Les obligations prennent désormais une autre forme : sous le nom d’ « accountability », entendez « responsabilité », il s’agit de l’organisation que vous devez mettre en place afin de respecter cette nouvelle réglementation.

Sans vouloir être alarmiste, si vous n’êtes pas en conformité avec le RGPD, nous vous invitons à le faire le plus rapidement possible. Le nombre de réclamations et de plaintes auprès de la CNIL est en nette tendance à la hausse ! Comme le dit le vieil adage, mieux vaut prévenir que guérir !

Qui est concerné par le RGPD ?

Le RGPD impacte toute les organisations qui traitent des données personnelles d’individus résidant en Europe.

Qu’entend-t-on donc par « données personnelles » ?
Il s’agit de données permettant d’identifier une personne humaine, de manière directe (nom, prénom…), ou indirecte (n° de sécurité sociale, adresse…).

Toute structure professionnelle, bénévole, privée ou publique et quelle que soit sa taille est concernée dès lors qu’elle stocke, traite ou transmet des données personnelles d’un résidant européen. Que cette structure soit en Europe, en Chine ou en Arabie Saoudite, c’est pareil !

Vous êtes concerné si vous êtes artisan, commerçant, micro-entrepreneur (ex autoentrepreneur), en profession libérale, chef d’entreprise de 2 salariés ou plus.

Si vous ne traitez que des données relatives à d’autres organisations sans donnée nominative ou permettant d’identifier un individu, vous n’êtes pas concerné mais dès lors que vous y ajoutez le nom d’un dirigeant ou encore que vous ayez un salarié (données du salarié), vous êtes sous la coupe du RGPD !

Dernier point important, vous êtes concerné par le RGPD quel que soit le support de vos données personnelles : papier ou électronique !

Comment se mettre en conformité avec le RGPD ?

3 étapes essentielles

1. Désigner un pilote : le délégué à la protection des données (DPO)

Obligatoire seulement si vous êtes un organisme public ou une structure gérant des données personnelles à grande échelle ou concernant des données sensibles (voir paragraphe). Cette désignation doit être déclarée sur le site de la CNIL. Si vous n’êtes pas concerné par cette obligation, il est tout de même vivement conseillé d’attribuer cette tâche à quelqu’un en particulier dans votre entreprise. Par ailleurs, il est possible d’externaliser ce rôle.

2. Cartographier vos traitements de données personnelles

Quels types de données utilisez-vous ?
Pourquoi en avez-vous besoin ?
Comment les utilisez-vous ?
Où sont stockées vos données personnelles ?
Qui y a accès ?
Pendant combien de temps les conservez-vous ?

Il s’agit essentiellement de répondre à ces questions et de le formaliser dans un registre (document word ou excel) qui doit être maintenu à jour.

En cas de contrôle de la CNIL, ces documents vous seront demandés.

3. Action !

Triez vos données et ne conservez que l’essentiel !
Etablissez vos mentions d’informations sur tous vos supports (site web, formulaire en ligne ou papier…)
Identifiez les fondements juridiques de l’utilisation de ses données (intérêt légitime, obligation légale,…).
Formalisez les modalités de droit d’accès à leurs données des personnes concernées (droit de consultation, de modification, de portabilité et de retrait du consentement).
Identifiez les mesures de sécurité de protection de ces données (anti-virus, cryptage…).
Si vous avez des sous-traitants qui utilisent vos données personnelles, assurez-vous de leur conformité.

Cas particulier des données sensibles ou à risque

Une donnée est dite sensible ou à risque si elle concerne :

Des données concernant des mineurs ;
Des données médicales ou concernant l’orientation sexuelle ;
Des données génétiques ou biométriques ;
Des données révélant une appartenance syndicale, religieuse, philosophique ou ethnique ;
Un traitement utilisant un numéro d’inscription des personnes au répertoire national d’identification des personnes physiques ;
Un traitement concernant la sureté de l’Etat ;
Une infraction ou condamnation ;
Un traitement de surveillance systématique ;
Des transferts en dehors de l’Union Européenne

Si la structure traite des données sensibles elle doit répondre à des obligations supplémentaires :

Demander une autorisation préalable dans certains cas précis.
Déclarer ses fichiers auprès de la CNIL ;
Faire une étude d’impact sur la protection des données (PIA).

Des bénéfices derrière la contrainte

Le RGPD apparaît tout d’abord comme contraignant mais il a le mérite d’apporter quelques plus-values :

Vous augmentez votre crédit de confiance auprès de vos clients, usages, partenaires, salariés… Votre image est valorisée.
Vous avez une meilleure visibilité et donc un meilleur contrôle de vos données.
Par le tri de vos données, vous économisez de l’espace (disque et physique) et vous simplifiez votre système d’information.
Vous anticipez les problèmes de sécurité.
Vous augmentez votre efficacité commerciale (moins d’hard bounces lors de vos mailings !).

Au-delà de l’obligation, le RGPD c’est surtout l’occasion de mettre à plat vos données et de bien structurer vos bases de données. Tout n’est pas utile à saisir et conserver. Cela vous permet de revoir votre fonctionnement.

Pour plus de détails, consulter le site de la CNIL.