Le RGPD en entreprise

Juridique
Écrit par Juliette Bardin | Expert comptable

Depuis le 25 mai 2018, toutes les entreprises qui collectent et traitent des données personnelles sont soumises au règlement général sur la protection des données (RGPD).

Ce texte européen vise à renforcer la protection des données des individus et responsabilise les entreprises dans la gestion de ces informations.

Qu’est-ce que le RGPD ?

Le RGPD (Règlement (UE) 2016/679) est le texte de référence en matière de protection des données personnelles dans l’Union européenne.

Il encadre la manière dont les entreprises, administrations et associations doivent collecter, traiter, conserver et sécuriser les données des personnes physiques.

Il s’applique à toute organisation, quelle que soit sa taille, dès lors qu’elle traite des données personnelles de citoyens européens, même si elle est basée en dehors de l’UE.

Source : CNIL – Comprendre le RGPD

Qu’est-ce qu’une donnée personnelle ?

Une donnée personnelle est toute information permettant d’identifier directement ou indirectement une personne physique.

Exemples :

  • Nom, prénom, adresse, e-mail, numéro de téléphone ;

  • Données de géolocalisation, adresse IP, identifiant client ;

  • Données bancaires, de santé ou biométriques.

Si votre entreprise collecte des e-mails clients, gère une base salariés ou utilise des cookies sur son site internet, alors vous êtes concernés.

Les grands principes du RGPD

Le RGPD repose sur 7 principes fondamentaux que toute entreprise doit respecter :

1/Licéité, loyauté et transparence : Informer clairement la personne concernée.

2/Limitation des finalités : Collecter les données pour un objectif précis.

3/Minimisation des données : Ne collecter que ce qui est nécessaire.

4/Exactitude : Tenir les données à jour.

5/Limitation de la conservation : Ne pas garder les données plus longtemps que nécessaire.

6/Intégrité et confidentialité : Sécuriser les données contre tout accès non autorisé.

7/Responsabilité (accountability) : Pouvoir démontrer à tout moment sa conformité.

Quelles obligations pour les entreprises ?

  • Désigner un référent (DPO ou responsable interne)

Pas obligatoire pour toutes les entreprises, mais recommandé, surtout si l'entreprise traite des données sensibles ou en volume important.

  • Tenir un registre des traitements

Il faut lister tous les traitements de données effectués dans l'entreprise : à quelles fins, sur quelles bases, avec quelles données, et pendant combien de temps.

  • Informer les personnes concernées

Par exemple, via une politique de confidentialité sur le site internet, un bandeau cookies, ou des clauses dans les contrats ou formulaires.

  • Encadrer les sous-traitants

Si l'entreprise fait appel à un prestataire (ex : logiciel de paie, hébergeur, plateforme e-mailing), il doit lui aussi être conforme au RGPD, et un contrat de sous-traitance doit être mis en place.

  • Sécuriser les données

Mise en place de mots de passe forts, antivirus, sauvegardes, limitation des accès… Toute entreprise, même une TPE, doit protéger les données qu’elle stocke.

Quels sont les droits des personnes concernées ?

Les personnes dont l'entreprise traites les données (clients, salariés, prospects…) disposent de droits qui doive être respecter :

  • Droit d’accès ;

  • Droit de rectification ;

  • Droit à l’effacement (ou « droit à l’oubli ») ;

  • Droit à la limitation du traitement ;

  • Droit à la portabilité ;

  • Droit d’opposition ;

  • Droit d’introduire une réclamation auprès de la CNIL.

L'entreprise être en mesure de répondre dans un délai d’un mois à toute demande liée à ces droits.

Que risque une entreprise non conforme ?

Les sanctions peuvent être lourdes :

  • Jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial annuel, en cas de manquement grave ;

  • Mises en demeure publiques ;

  • Atteinte à la réputation en cas de plainte ou de fuite de données.

Dans les faits, la CNIL privilégie souvent l’accompagnement et la pédagogie pour les petites structures, mais il est indispensable d’être en mesure de prouver sa conformité.

Quelles sont les bonnes pratiques à mettre en place ?

  • Rédiger une politique de confidentialité claire et accessible ;

  • Afficher un bandeau cookies conforme si ton site utilise des traceurs ;

  • Établir un registre des traitements même simplifié ;

  • Limiter l’accès aux données à ceux qui en ont strictement besoin ;

  • Sensibiliser ton équipe au traitement des données (salariés, sous-traitants) ;

  • Signer des clauses RGPD avec tes prestataires (comptabilité, cloud, marketing, etc.).

Chez JLB Expert, nous accompagnons les TPE/PME dans la mise en conformité avec le RGPD : audit de vos pratiques, mise en place des documents obligatoires, sensibilisation, rédaction de votre politique de confidentialité.

Juliette Bardin | Expert comptable

Expert-comptable diplômée depuis 2023, avec 15 ans d’expérience en cabinet comptable. Au travers de mon cabinet JLB Expert, je vous propose un accompagnement personnalisé pour vous aider à piloter votre entreprise avec sérénité et efficacité.

Précédent

La fiscalité des dividendes en France
Suivant

Le Guichet Unique