Le RGPD, idées reçues et FAQ !
Je ne suis pas concerné par le RGPD ! (FAUX)
Le RGPD s’applique à toute organisation (entreprise, association, collectivité, publique et privée) qui traite des données personnelles pour son compte ou non. Dès lors que vous avez des salariés, des clients ou des sous-traitants, vous êtes concerné par le RGPD.
Je ne traite pas de données personnelles ! (FAUX)
Toute entreprise traite des données personnelles dès lors qu’elle a des salariés, des clients ou des sous-traitants.
Si vous traitez ou collectez des données personnelles, vous avez des obligations spécifiques pour garantir la protection des données qui vous sont confiées. Vous devez permettre aux personnes concernées, de maîtriser leurs données en leur conférant des droits d’accès, de rectification, d’effacement, d’opposition, etc.
J’ai des salariés, clients, sous-traitants mais je ne traite aucune de leurs données ! (FAUX)
Au sens du RGPD et selon la CNIL, dès lors que vous êtes en possession de certaines informations permettant d’identifier directement ou indirectement une personne physique vous traitez des données personnelles.
De façon non exhaustive il peut s’agir : du nom, numéro de téléphone, photographie, date de naissance, adresse, numéro de sécurité sociale, adresse mail non générique, photo, lieu de résidence, profession, sexe, âge, voix….
Si dans votre entreprise vous avez mis en place un système de vidéosurveillance, de géolocalisation, de badges, vous traitez également des données personnelles.
Il s’agit également de données personnelles si vous êtes en possession de données physiques, physiologiques, génétiques, psychiques, économiques, culturelles, sociales, numéros d’immatriculation, adresses IP, empreintes digitales, données biométriques, utilisation de badges….
J’ai bien ce type de données personnelles, mais elles ne sont pas sur mon ordinateur ! (FAUX)
Peu importe, dès lors qu’elles sont en votre possession, que ce soit sur ordinateur ou sur papier.
Je n’ai pas de site internet, donc je ne suis pas concerné ! (FAUX)
Le site internet ne compte que pour très peu dans une mise en conformité globale RGPD. Même si vous n’avez pas de site internet, vous êtes concerné par le RGPD car vous traitez des données personnelles de vos salariés, clients et sous-traitants.
Je suis déjà en conformité, c’est mon informaticien qui s’en occupe ! (FAUX)
Non votre informaticien n’est pas en mesure de vous mettre en conformité. La mise en conformité RGPD n’est pas seulement liée à l’informatique, loin de là.
C’est à peu près vrai pour 10% de l’obligation globale puisque pour faire simple, l’informaticien va devoir sécuriser le système informatique, mais il n’interviendra sur rien d’autre.
Par exemple vous devez réaliser des registres de traitements, mettre en place une charte informatique, vous devez mettre en place des clauses particulières liées au RGPD dans, réaliser des avenants aux contrats de travails, compléter votre politique de confidentialité, CGU, CGV, gérer la partie RGPD de, votre sous-traitance, utilisation des badges, géolocalisation des véhicules, vidéosurveillance sur les lieux de travail….
Toutes ces prestations ne sont pas du ressort de l’informaticien.
C’est mon expert-comptable qui va s’en occuper ! (FAUX)
Tout comme l’informaticien, votre expert-comptable ne va pas s’occuper de vos registres de traitements, de la charte informatique, des avenants aux contrats de travail*, des CGV, des CGU, des clauses de sous-traitance, de clauses d’information des badges, de géolocalisation, de vidéosurveillance, de la mise en conformité obligatoire des sous-traitants etc.
En revanche, votre expert-comptable est votre sous-traitant et à ce titre il doit vous garantir qu’il traite vos données personnelles selon l’exigence de la CNIL et qu’il est bien en conformité RGPD.
*Les avenants aux contrats de travail tiennent compte uniquement de la collecte des données personnelles des salariés et de leur engagement de confidentialité concernant les données qu’ils sont amenés à traiter.
https://www.youtube.com/watch?v=62xV4JKn_HA (cliquez pour voir la vidéo)
En quoi consiste une mise en conformité RGPD ?
La mise en conformité consiste en premier lieu à réaliser les registres des activités de traitements liés à votre activité. Les registres sont la base essentielle qui vous sera utile dès le départ et pour les années à venir, d’où l’importance de partir sur une assise solide.
Qu’est-ce qu’un registre de traitement de données à caractère personnel ?
Cartographier : Il s’agit de cartographier tous les traitements de données personnelles liés à votre activité. Vous allez devoir identifier les différents acteurs, identifier les catégories de données (PC, logiciels, messagerie, serveurs, supports papier, smartphone, agendas électroniques et papier.
Mesures de sécurité : Il va falloir définir le type de risques qu’engendrent le traitement ou l’utilisation de ses données, pourquoi elles sont collectées, quel sera leur temps de conservation, définir si certaines données sont sensibles au sens du RGPD, quantifier le niveau de risque, quelles sont les mesures de sécurité déjà existantes et celles à réaliser.
Il va falloir prendre en compte la protection des locaux afin de bien protéger les données internes papier, informatiques, sensibiliser les personnes qui manipulent des données, information du droit des personnes.
Plusieurs registres de traitements devront être réalisés concernant vos salariés pour la gestion des paies et déclarations sociales, votre service commercial, vos clients, vos sous-traitants. D’autres registres de traitements pourront être nécessaires si vous avez de la géolocalisation, de la vidéosurveillance, de la gestion de badges, un site internet, des patients pour le corps médical, des bénévoles si vous êtes une association….
Tout l’ensemble d’opérations portant sur de telles données (collecte, enregistrement, organisation, conservation, stockage, adaptation, modification, extraction, consultation, utilisation, communication, effacement ou destruction, …) devra être appréhendé.
Pour rappel, Un traitement de données personnelles n’est pas nécessairement informatisé : les fichiers papier sont également concernés et doivent être protégés dans les mêmes conditions.
Je suis une petite entreprise, je ne risque pas d’être contrôlé ! (FAUX)
Bon nombre de dirigeants de TPE, PME cabinet libéraux, etc., pensent qu’ils ne risquent pas de subir un contrôle RGPD étant trop nombreux et trop petits.
Depuis le 26 janvier 2022, la CNIL dispose d’une nouvelle procédure de sanction simplifiée en cas de non-conformité au RPGD.
Cette procédure est issue de la loi du 24 janvier 2022 relative à la responsabilité pénale et à la sécurité intérieure. Le président de la formation restreinte de la CNIL ou l’un de ses membres pourra statuer seul et prononcer trois types de sanction non publiques :
– un rappel à l’ordre,
– une injonction de mettre en conformité les registres des activités de traitements sous astreinte journalière de 100€ par jour de retard et/ou une amende administrative n’excédant pas 20 000€.
La mauvaise nouvelle, c’est que toutes les entreprises sont à risque d’une sanction rapide via la procédure simplifiée.
https://www.legifrance.gouv.fr/jorf/article_jo/JORFARTI000045067962
Lien CNIL
https://www.cnil.fr/fr/la-procedure-de-sanction-simplifiee
Sous-traitants et RGPD
Le RGPD reconnaît le rôle des sous-traitants dans le traitement de données personnelles, et leur impose des obligations particulières.
Qui est concerné ?
Le sous-traitant est la personne physique ou morale qui traite des données personnelles pour le compte d’une autre société appelée le « responsable de traitement », dans le cadre d’un service ou d’une prestation.
Vous êtes concerné, en qualité de responsable de traitement, si vous choisissez de confier la gestion de vos données personnelles à des prestataires qui seront vos sous-traitants.
Vous êtes concerné, en qualité de sous-traitant, si votre entreprise traite des données personnelles sur instruction et pour le compte d’une autre société ou organisme dans le cadre d’un service ou d’une prestation.
RGPD : Comment gérer ses sous-traitants ?
Le règlement impose désormais des obligations spécifiques aux sous-traitants dont la responsabilité peut être engagée.
Un prestataire qui traite des données personnelles pour le compte d’un responsable de traitements (le client) est considéré comme un sous-traitant.
Beaucoup de sous-traitants ne se considèrent pas impliqués dans la conformité au RGPD au seul titre qu’ils ne traitent pas de données pour leurs clients. La collecte, transmission, stockage, modification, communication, enregistrement sont des traitements de données.
Gérer la sous-traitance constitue aussi une des obligations imposées par le RGPD au responsable de traitement (le client).
Celui-ci doit en effet, ne faire appel qu’à des sous-traitants présentant des garanties suffisantes en termes techniques et organisationnels (article 28.1)
Le sous-traitant lui-même ne peut faire appel à d’autres sous-traitants que s’il est autorisé au cas par cas, par le responsable de traitement.
Les relations avec le sous-traitant doivent impérativement être encadrées par un contrat ou un avenant de contrat.
Que doivent faire les sous-traitants ?
Les sous-traitants sont tenus de respecter des obligations spécifiques en matière de sécurité, de confidentialité et de documentation de leur activité.
Les sous-traitants doivent tenir un registre des activités de traitement effectuées pour le compte de leurs clients en complément de leurs propres traitements !
Pour déterminer les obligations respectives des responsables de traitements et de leurs sous-traitants, il est nécessaire de rédiger un contrat.
Ce contrat doit prévoir une clause spécifique sur la protection des données personnelles.
Etes-vous concerné par les traitements de données à risques ou traitez-vous des données sensibles ?
Certaines données ou certains types de traitements nécessitent une vigilance particulière :
Lorsque vous traitez certains types de données à risque, sont notamment concernées les données dites « sensibles » : Révélant l’origine prétendument raciale ou ethnique, portant sur les opinions politiques, philosophiques ou religieuses, relatives à l’appartenance syndicale, concernant la santé ou l’orientation sexuelle, génétiques ou biométriques, condamnations pénales ou infractions, numéro d’identification national unique.
PIA (analyse d’impact)
Lorsque votre traitement a pour objet ou pour effet : L’évaluation d’aspects personnels ou notation d’une personne (exemple : scoring financier), une prise de décision automatisée, la surveillance systématique de personnes (exemple : télésurveillance), le traitement de données sensibles (exemple : santé, biométrie, etc.), le traitement de données concernant des personnes vulnérables (exemple : mineurs), le traitement à grande échelle de données personnelles, le croisement d’ensembles de données, les usages innovants ou l’application de nouvelles technologies (exemple : objet connecté), l’exclusion du bénéfice d’un droit, d’un service ou contrat (exemple : liste noire).
Si vos traitements de données répondent à 1 ou 2 de ces 9 critères, vous devez, conduire une analyse d’impact sur la protection des données (PIA : Privacy Impact Assesment), avant de commencer les opérations de traitement.
Ne pas se mettre en conformité, c’est nuire à mon image.
Les répercussions d’une sanction publique auraient un impact extrêmement négatif sur la confiance de vos clients, prospects et même de vos collaborateurs… En effet, vos clients, partenaires et prospects risquent fort de vous demander si vous êtes en conformité avec le RGPD, avant de collaborer avec vous.
De même, si vous êtes fournisseur ou sous-traitant et que l’on vous demande de signer les clauses « données personnelles » et « responsabilité » dans vos contrats : vous serez bien embarrassé ! Et votre business en pâtirait sans aucun doute. Dommage, car en respectant le règlement sur les données personnelles, vous pourriez, au contraire, entrevoir de nouvelles opportunités…
Le RGPD peut être source de business supplémentaire.
Ceux qui ne se plieront pas aux règles imposées par le RGPD, seront hors la loi, mais en plus, ils passeront à côté d’une belle opportunité de communication. En effet, quitte à faire les efforts nécessaires pour se mettre en conformité avec la réglementation, autant que cela se sache !
La mise en conformité n’est pas seulement une contrainte. Il s’agit d’un règlement pragmatique où on ne demande pas aux entreprises d’être parfaites mais de s’améliorer tous les jours.
Autorité de contrôle et sanctions
Les responsables de traitement et les sous-traitants peuvent faire l’objet de sanctions administratives importantes en cas de méconnaissance des dispositions du RGPD.
Les autorités de contrôle (en France, la CNIL) peuvent notamment :
- Prononcer un avertissement ;
- Mettre en demeure l’entreprise ;
- Limiter temporairement ou définitivement un traitement ;
- Suspendre les flux de données ;
- Ordonner de satisfaire aux demandes d’exercice des droits des personnes ;
- Ordonner la rectification, la limitation ou l’effacement des données.
S’agissant des amendes administratives, elles peuvent s’élever, selon la catégorie de l’infraction, de 10 ou 20 millions d’euros, ou, dans le cas d’une entreprise, de 2% jusqu’à 4% du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu.
Il est préférable de se mettre en conformité le plus rapidement possible ! Car au-delà de la sanction financière, une non-conformité peut tout de même vous nuire si une personne porte plainte ou si, suite à une fuite ou perte de données, vous êtes dans l’obligation de prévenir tous vos clients.