Mon entreprise est-elle soumise à la nouvelle Réglementation Générale sur la Protection des Données (RGPD)?
LebonExpertcomptable : comptable en ligne
- dans Juridique Modification le :
Le GDPR (general data protection regulation) ou RGPD (Réglementation Générale sur la Protection des Données), est entré en vigueur le 25 mai 2016 et sera applicable à partir du 25 mai 2018. Ce nouveau règlement européen s’appliquera à toute entité qui collecte, traite et stocke des données personnelles dont l’utilisation peut directement ou indirectement identifier une personne. Quelles sont les implications de cette nouvelle régulation pour votre entreprise? Comment vous mettre en conformité?
Le GDPR est-il applicable à toutes les entreprises?
L’objectif principal de cette nouvelle réglementation reste similaire à ce qui est actuellement en place: le GDPR est conçu pour renforcer les droits des consommateurs en matière de protection des données tout en rendant la législation sur la sécurité des données uniforme dans toute l’Union Européenne. Dès lors, cette nouvelle réglementation s’applique à tous les acteurs économiques et sociaux ayant des activités de traitement et/ou de manipulation de données à caractère personnel concernant directement des citoyens européens. Ainsi toutes les entreprises sont concernées, qu'il s'agisse d'une TPE, d'une PME ou d'une grande entreprise, le RGPD s'applique à tous. Certes les obligations et les dispositions à prendre pour la "mise en conformité" seront probablement différents en fonction de la taille des entreprises mais le nouveau règlement s’applique à tous (par exemple si vous avez moins de 250 salariés, vous n’avez pas à tenir un registre des traitements). Donc si votre entreprise a des salariés, les informations sur ces derniers sont des données personnelles. Si vous êtes une société qui vend à des particuliers, encore une fois, vous collectez des données personnelles de ces clients.Quelles sont les données considérées comme personnelles?
Les “données à caractère personnel” sont définies comme toute information se rapportant à une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique. En tant qu’entreprise, vous collectez et conservez une quantité importante de données personnelles. Des données bancaires aux données de vos salariés ou de vos clients, les données personnelles sont au cœur de votre activité quotidienne.En quoi le GDPR diffère-t-il des réglementations existantes?
Nous mentionnerons les quatre différences les plus importantes: 1- Une portée géographique plus large: Le GDPR étend la portée des lois sur la protection des données. À partir de 2018, si vous collectez des données auprès de ressortissants de l’Union Européenne, même si votre organisation est située en dehors de l’Union Européenne – cette réglementation s’appliquera à vous. 2- Sanctions: selon la nouvelle réglementation, l’amende maximale pour non-conformité peut atteindre 4% du chiffre d’affaires global (ou 20 millions d’euros – le chiffre le plus élevé). 3- Consentement du consommateur: Les entreprises traitant des données personnelles doivent être claires et directes quant à la raison pour laquelle elles veulent collecter ces données. De plus, le règlement précise que ces traitements ne sont licites que si la personne concernée a donné son consentement de façon claire, indubitable et démontrable a posteriori. Enfin, les entreprises doivent faire en sorte que les consommateurs puissent retirer leur consentement. Les obligations du GDPR supposent donc qu’une organisation doit à tout moment savoir de quelles données elle dispose, leur localisation, l’objectif de leur collecte et leur mode de gestion, stockage, sécurisation, transfert et effacement. 4- Obligation de signaler les violations de données: selon les termes de la nouvelle réglementation, les entreprises seront tenues de signaler les violations de données à leurs autorités de surveillance dans les 72 heures suivant la découverte d’une violation. Donc vous devez être en mesure de déceler si l’intégrité de vos données a été compromise et y remédier promptement, tout en consignant et notifiant l’événement.Le GDPR s’applique-t-il à mon entreprise basée en France ?
Oui. Votre entreprise est basée en France et collecte des données de ressortissants de l’Union Européenne.Quelles sont les conséquences de ne pas adhérer aux nouvelles directives?
La non-conformité n’est pas une option! La raison étant que les entreprises qui ne respectent pas ces nouvelles obligations pourraient faire face à des pénalités et des amendes sévères. Voir sanctions ci-dessus...Que dois-je faire en tant qu’entreprise pour devenir conforme au GDPR?
Premièrement, il est important de commencer dès maintenant. Vous devrez vous assurer que votre système actuel et que les procédures de contrôle existantes répondent aux exigences du GDPR. Effectuez un état des lieux des données récoltées par votre entreprise, de leur traitement, et des moyens de contrôle en place. Déterminez également les zones de risques vis-à-vis des exigences du GDPR.Quelles actions concrètes mon entreprise doit-elle prendre?
- Si vous possédez un système existant, vérifiez que votre fournisseur actuel maîtrise GDPR et ses implications.
- Si vous pensez acheter un nouveau système, assurez vous que le fournisseur est alerté de cette réglementation.
- Déterminez quelles sont les données personnelles que vous devez collecter. La nouvelle réglementation impose de ne collecter sur informatique que les données qui sont strictement nécessaires à vos objectifs. Evitez de collecter des données peu nécessaires et plus sensibles telles que données de santé, données relatives aux origines raciales ou ethniques).
- Décidez comment vous formulerez vos mentions légales si vous vendez des produits sur internet, pour vous assurer qu’elles adhèrent à la nouvelle réglementation. Celles-ci devront comporter un certains nombres d’information (identité de l’organisation, mention des droits des personnes au regard de leurs données, etc.).
- Assurez vous de l’obtention du consentement explicite de vos utilisateurs et qu’ils comprennent pourquoi ces données sont collectées. Ce consentement pourra être retiré à tout moment par les individus le demandant, vous devrez donc pouvoir modifier ou effacer ces données si cela vous est demandé. Attention, vous devrez être en mesure de prouver le recueil de ce consentement le cas échéant (en cas de contrôle de la CNIL).
- Evaluez la sécurité de vos données et identifiez les améliorations nécessaires pour assurer la conformité aux nouvelles réglementations. N’oubliez pas qu’il y a de lourdes pénalités si vous ne respectez pas les nouvelles directives.