Depuis le 25 mai 2018, toutes les entreprises qui collectent et traitent des données personnelles sont soumises au règlement général sur la protection des données (RGPD).
Ce texte européen vise à renforcer la protection des données des individus et responsabilise les entreprises dans la gestion de ces informations.
Qu’est-ce que le RGPD ?
Le RGPD (Règlement (UE) 2016/679) est le texte de référence en matière de protection des données personnelles dans l’Union européenne.
Il encadre la manière dont les entreprises, administrations et associations doivent collecter, traiter, conserver et sécuriser les données des personnes physiques.
Il s’applique à toute organisation, quelle que soit sa taille, dès lors qu’elle traite des données personnelles de citoyens européens, même si elle est basée en dehors de l'UE.
Source : CNIL – Comprendre le RGPD
Qu’est-ce qu’une donnée personnelle ?
Une donnée personnelle est toute information permettant d’identifier directement ou indirectement une personne physique.
Exemples :
Si votre entreprise collecte des e-mails clients, gère une base de salariés ou utilise des cookies sur son site internet, vous êtes alors concerné.
Les grands principes du RGPD
Le RGPD repose sur 7 principes fondamentaux que toute entreprise doit respecter :
1/ Licéité, loyauté et transparence : Informer clairement la personne concernée.
2/ Limitation des finalités : Collecter les données pour un objectif précis.
3/ Minimisation des données : Ne collecter que ce qui est nécessaire.
4/ Exactitude : Tenir les données à jour.
5/ Limitation de la conservation : Ne pas garder les données plus longtemps que nécessaire.
6/ Intégrité et confidentialité : Sécuriser les données contre tout accès non autorisé.
7/ Responsabilité (accountability) : Pouvoir démontrer à tout moment sa conformité.
Quelles obligations pour les entreprises ?
Non obligatoire pour toutes les entreprises, mais recommandé, surtout si l'entreprise traite des données sensibles ou en volume important.
Il faut lister tous les traitements de données effectués dans l'entreprise : à quelles fins, sur quelles bases, avec quelles données et pendant combien de temps.
Par exemple, via une politique de confidentialité sur le site internet, un bandeau cookies, ou des clauses dans les contrats ou formulaires.
Si l'entreprise fait appel à un prestataire (ex : logiciel de paie, hébergeur, plateforme d'e-mailing), il doit lui aussi être conforme au RGPD, et un contrat de sous-traitance doit être mis en place.
Mise en place de mots de passe forts, antivirus, sauvegardes, limitation des accès… Toute entreprise, même une TPE, doit protéger les données qu’elle stocke.
Quels sont les droits des personnes concernées ?
Les personnes dont l'entreprise traite les données (clients, salariés, prospects…) disposent de droits qui doivent être respectés :
L'entreprise doit être en mesure de répondre dans un délai d’un mois à toute demande liée à ces droits.
Que risque une entreprise non conforme ?
Les sanctions peuvent être lourdes :
Dans les faits, la CNIL privilégie souvent l’accompagnement et la pédagogie pour les petites structures, mais il est indispensable d’être en mesure de prouver sa conformité.
Quelles sont les bonnes pratiques à mettre en place ?
Chez JLB Expert, nous accompagnons les TPE/PME dans la mise en conformité avec le RGPD : audit de vos pratiques, mise en place des documents obligatoires, sensibilisation, rédaction de votre politique de confidentialité.

