Comment se mettre en conformité avec le RGPD
Vous avez certainement déjà entendu parler du Règlement Général sur la Protection des Données qui est entré en vigueur le 25 mai 2018 et vous vous demandez comment l’appliquer dans votre entreprise ?
L’objectif du RGPD est de redonner aux citoyens le contrôle de leurs données personnelles et de responsabiliser les acteurs traitants des données. Chez Sermorens Consultants nous sommes conscient que cette nouvelle réglementation peut créer quelques complications dans les petites entreprises (-20 salariés). Nous avons donc décidé de vous aiguiller sur la mise en conformité.
Pourquoi êtes-vous concernes par le RGPD ?
Avant de savoir comment vous mettre aux normes face au nouveau règlement européen concernant la protection des données personnelles, assurez-vous d’y être concerné (vous l’êtes de toute façon).
Tout d’abord, lorsque vous avez accès à des données à caractère personnel. Ce sont toutes les informations concernant une personne physique identifiée ou indentifiable directement ou indirectement. Par exemple, le nom, prénom, sexe, date et lieu de naissance…, etc. Cette règle s’applique aussi bien du coté de vos clients que du coté de vos collaborateurs. Le RGPD vise à protéger les données personnelles de TOUS les citoyens européens.
Par la suite, lorsque vous faites du traitement de données personnelles. Ce sont toutes les opérations portant sur ces données, quel que soit le procédé utilisé. Par exemple, la collecte, l’enregistrement, la conservation, la consultation, le verrouillage, la destruction, etc.
Le RGPD s’applique également au traitement papier des données à caractère personnel.
Comment se conformer au RGPD ?
Tout d’abord il faut identifier les activités principales de votre entreprise qui nécessitent le traitement de données.
1. Définir les activités concernées
Pour chaque traitement de données personnelles, il faudra se poser les questions suivantes : Qui ? Quoi ? Pourquoi ? Où ? Jusqu’à quand ? Comment ?
Pour vous aider, la CNIL a mis à disposition sur son site internet un modèle de registre de traitement à remplir.
Ensuite, il faut faire le tri dans vos données et vérifier que seules les données strictement nécessaires à la poursuite de vos objectifs sont collectées et traitées.
2. Faire le nettoyage de vos données
Vérifier que les données personnelles non nécessaires au traitement soient supprimées ou anonymisées.
Si vous traitez des données personnelles « sensibles » (Origine raciale ou ethnique ; Opinions politiques ; les croyances religieuses, l’adhésion à un syndicat ; Données génétiques ; etc.) : elles bénéficient d’un traitement particulier, votre fédération professionnelle pourra vous aiguiller dans ce cas.
3. Obtenir le consentement
Un des objectifs principaux du RGPD est de faire respecter les droits des personnes.
Informer et obtenir le consentement des personnes concernées par le traitement est obligatoire. Pour cela, la CNIL a mis à disposition des modèles de mentions d’informations à insérer dans les contrats, conditions générales, etc.
Si vous avez des salariés ou que vous travaillez avec des sous-traitants, il faudra s’assurer qu’ils connaissent leurs nouvelles obligations et leurs responsabilités. Des clauses de confidentialité sont à prévoir dans les contrats avec les partenaires et salariés.
Le RGPD prévoit un traitement particulier en cas de transferts de données hors de l’Union Européenne. En effet, il faut vérifier auparavant si le pays dispose d’une législation sur la protection des données.
4. Redonner la main aux personnes
L’exercice des droits des personnes est une notion importante du RGPD. Chaque personne doit pouvoir demander facilement à l’entreprise sur simple mail, par exemple, d’exercer son droit à l’oubli, droit de rectification, ou droit d’accès, etc.
Un formulaire de contact spécifique sur votre site internet fera également l’affaire.
5. Renforcer la sécurité
Enfin, il faut donner une place importante à la sécurité informatique de vos données.
Entre autres, l’accès aux données doit être limité aux seules personnes dont les missions le justifient. Les mots de passe doivent respecter la règle de complexité, les antivirus doivent être à jour.
Parmi d’autres exemples : le Wifi doit être protégé avec un chiffrement WEP, les sessions doivent être verrouillées automatiquement après un certain temps.
Il est utile de vérifier tout cela auprès de votre prestataire informatique. Si vous ne savez pas vers qui vous tourner, notre cabinet est en mesure de vous orienter vers l’un de nos partenaires spécialisé dans ce domaine.
Les locaux et notamment l’entretien des salles informatiques doivent également être sécurisés.
EN CAS DE NON RESPECT DU RGPD, QUELLES SONT LES SANCTIONS ?
Au niveau pénal, la sanction peut aller jusqu’à 5 ans de prison et 300 000€ d’amende et au niveau administratif l’amende peut atteindre 4% du CA mondial ou 20 Millions d’Euros. Il serait navrant d’en arriver si loin alors que vous êtes à présent prévu des risques…
Mais rassurez-vous, en cas de difficulté vous avez toujours la possibilité de vous retourner vers notre cabinet d’expertise comptable. Nous venons d’établir un nouveau partenariat avec des experts en la matière qui sont capables de vous accompagner.
