Le Règlement Général sur la Protection des Données (RGPD) est entré en vigueur le 25 mai 2018. Ce règlement relatif au traitement des données personnelles par les entreprises impose une plus grande responsabilité aux sociétés amenées à collecter, traiter, regrouper et analyser les données de leurs clients. Le RGPD vise à renforcer et harmoniser la protection des données personnelles des résidents de l’Union Européenne. C’est une application plus stricte des principes de la loi informatique et libertés du 6 janvier 1978 pour l’adapter aux nouvelles pratiques du web et harmoniser la réglementation avec les évolutions des technologies de l’information. Aujourd’hui la plupart des entreprises présentes sur le web récoltent et utilisent les données personnelles de leurs clients ou de leurs visiteurs (adresses email, coordonnées, nom…) c’est pourquoi, elles devront être intransigeantes concernant la récolte et l’hébergement de ces informations sensibles. La conformité au RGPD est un enjeu actuel pour la majorité des TPE et PME. Comment mettre en place le RGPD au sein de votre entreprise ?
RGPD : les bonnes questions à vous poser
Le règlement RGPD concerne toutes les entreprises et organisations qui collectent, traitent et stockent des données à caractère personnel de personnes résidant dans l’Union Européenne. Votre entreprise est donc directement concernée par cette mesure et se trouve dans l’obligation de l’appliquer. Mais par où commencer ? Voici quelques questions essentielles :
- Mon entreprise stocke-t-elle des données personnelles ?
- Comment ont-elles été obtenues ?
- Les personnes concernées peuvent-elles consulter / modifier / supprimer ces données ?
- Comment ces données sont-elles utilisées ?
- Les personnes concernées ont-elles été averties de l’usage qui sera fait de leurs données personnelles (emailing par exemple) ?
- Comment les données sont-elles exploitées et dans quel but ?
- Qui traite les données ?
- Où sont-elles hébergées ?
- Sont-elles suffisamment protégées contre le vol et les intrusions ?
RGPD étape 1 : Recenser l’ensemble des données collectées
Les entreprises, quelles que soient leur taille et leurs activités sont amenées à collecter un certain nombre de données sur leurs clients, fournisseurs, partenaires ou employés. Voici celles considérées comme données personnelles dans la RGPD : nom, prénom, genre, âge, taille, poids, adresse, e-mail, adresse IP, situation familiale, opinion politique ou religieuse, orientation sexuelle, données biométriques, données relatives à la santé. Si votre entreprise collecte, d’une manière ou d’une autre ce type de données, vous devez alors appliquer les recommandations de la CNIL et vous conformer à la RGPD.
RGPD étape 2 : Obtenir le consentement explicite des utilisateurs
Dorénavant, les entreprises doivent pouvoir prouver qu’elles ont obtenu le consentement préalable et explicite de chaque utilisateur dont elles collectent les données personnelles.
Le consentement de l’internaute au traitement de ses données doit être exprimé de façon claire par une action de sa part. Cela signifie que vos utilisateurs doivent notifier librement et activement leur consentement pour le traitement de leurs informations, par une case à cocher par exemple.
RGPD étape 3 : Prendre les principales mesures de protection des données
La RGPD comporte « l’obligation pour les entreprises de mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données ».
- Désigner parmi vos collaborateurs un DPO (Data Protection Officer) charger de veiller au respect du RGPD au sein de l’entreprise.
- Prendre des mesures spécifiques de traitement et hébergement des données les plus sensibles, c’est à dire celles qui présentent des risques élevés d’atteinte aux droits et libertés des personnes.
- Mettre en place des procédures internes (bonnes pratiques, gestion de crise, gestion des réclamations…) et veiller au respect de ces procédures par les collaborateurs.
- Documenter soigneusement l’ensemble des actions relatives à la protection des données (études, registre des traitement, preuves de consentement…).
Que risque une entreprise qui ne respecte pas le RGPD ?
La CNIL veille à l’application de la réglementation RGPD dans les entreprises françaises.
Sa mission : conseiller, contrôler et sanctionner les entreprises afin que le règlement soit respecté.
En cas de non-conformité votre entreprise pourra être sanctionnée. Dans un premier temps, vous recevrez un avertissement. Si vous ne prenez pas les mesures nécessaires, votre entreprise devra s’acquitter d’une amende administrative pouvant aller jusqu’à 20 millions d’euros ou 4% de votre chiffre d’affaires. D’autre part, en cas de violation de données (intrusion, piratage), l’entreprise a l’obligation d’en avertir la CNIL dans les 72h suivant l’incident. Il est donc primordial de protéger les données de votre entreprise et d’être en mesure de détecter rapidement une intrusion afin d’intervenir dans les plus brefs délais.
Comment protéger les données au sein de l’entreprise ?
Il n’est pas facile d’appliquer correctement le RGPD si votre entreprise ne dispose pas d’un service informatique ou d’un technicien en interne. Dans ce cas-là, votre prestataire en infogérance peut vous aider à sécuriser vos données d’entreprise afin d’être en conformité avec le RGPD.
- Former l’ensemble de vos collaborateurs aux bonnes pratiques relatives à la protection des données informatiques
- Mettre en œuvre une politique stricte de Data Loss Protection, qui inclue la gestion des droits d’accès aux données.
- Mettre à jour les applications et logiciels de l’entreprise
- Prévoir des processus de traitement et d’accès aux données ainsi que des procédures en cas d’attaque ou d’intrusion.
- Mettre en place des outils de protection des données informatiques (antivirus, détection comportementale, filtrage…)
- Organiser une sauvegarde régulière de vos données d’entreprise.
- Mettre en place un système de monitoring afin de détecter rapidement toute activité suspecte.
- Prodiguer des conseils d’experts pour sécuriser votre infrastructure et limiter les failles de sécurité.
Qu’est-ce qui change en 2023 ?
En 2023, la CNIL est toujours plus sévère avec les entreprises. En effet, elle restait conciliante avec les entreprises au début de l’adoption du règlement, mais aujourd’hui l’erreur est accueillie avec beaucoup moins de patience par la Commission Nationale de l’Informatique et des libertés qui distribue facilement les amendes pour non-respect du RGPD.
Par ailleurs, elle a également resserré les vices quant à la mise en conformité RGPD des sites internet. En effet, les sites internet, par le biais d’outils d’analyse (notamment Google Analytics) ou encore de cookies, récoltent énormément de données sur les visiteurs. Le RGPD vous oblige donc à mettre votre site en conformité pour que celui-ci soit plus respectueux des données personnelles des internautes qui le visitent.
Il y a trois grands principes à respecter ici :
- La protection des données personnelles (notamment à travers la nomination d’un DPO)
- Le respect des règles en matière de cookies et de traceurs.
- La cybersécurité des sites web.
En parlant de cybersécurité, c’est aussi un aspect sur lequel la CNIL insiste fortement. En effet, les cyberattaques se multiplient, et la mise en place de réels processus de sécurité devient obligatoire dans les entreprises. Il est évident qu’une cybersécurité accrue réduira la possibilité de compromettre les données personnelles de vos clients/collaborateurs.
Le but du RGPD n’est pas d’interdire ou d’empêcher les entreprises de traiter des données ou de mettre en œuvre des évolutions technologiques nécessitant de la data ou qui est valorisé par la data. Bien au contraire, le but est de les responsabiliser afin de protéger les droits et libertés des personnes physiques. Il est donc toujours possible de traiter des données à condition de respecter les obligations imposées par le RGPD. Les experts informatiques Nowteam vous aident à assurer la conformité de votre entreprise au règlement RGPD. N’hésitez pas à nous contacter pour bénéficier des conseils d’un interlocuteur dédié.