Le règlement général sur la protection des données

Le RGPD, qu’est-ce que c’est ?

Le règlement général sur la protection des données (RGPD) est un texte réglementaire européen qui harmonise les règles de traitement des données à caractère personnel dans toute l’Union européenne.

Entré en application le 25 mai 2018, il vient renforcer et compléter la loi française « Informatique et Libertés » de 1978, actualisée par la loi du 20 juin 2018 relative à la protection des données personnelles.

Trois objectifs principaux guident le RGPD :

  • renforcer les droits des personnes,
  • responsabiliser les acteurs traitant des données,
  • crédibiliser la régulation grâce à une coopération renforcée entre les autorités de protection des données.

Données personnelles : de quoi parle-t-on ?

Une donnée à caractère personnel (ou « donnée personnelle ») est décrite par la Commission nationale de l’informatique et des libertés (CNIL) comme « toute information se rapportant à une personne physique identifiée ou identifiable ».

Il existe deux types d’identification :

  • l’identification directe (nom et prénom),
  • l’identification indirecte (numéro de téléphones, numéro de sécurité sociale, une adresse postale ou courriel, etc.).

Lorsqu’une opération ou un ensemble d’opérations portant sur des données personnelles sont effectuées, on considère qu’il s’agit de traitement de données personnelles. 

La CNIL donne les actions suivantes à titre d’exemple du traitement des données :

  • tenue d’un fichier de ses clients,
  • collecte de coordonnées de prospects via un questionnaire,
  • mise à jour d’un fichier de fournisseurs.

Le traitement de données n’est pas limité à l’informatique : la gestion de fichiers papier est également concernée. À l’inverse, un fichier contenant uniquement des coordonnées d’entreprises n’est pas soumis au RGPD.

Êtes-vous concerné par le RGPD ?

Le RGPD s’applique à toutes les structures, privées ou publiques, qui collectent et/ou traitent des données personnelles sur le territoire de l’Union européenne (UE). Il concerne également les sous-traitants qui traiteraient ou collecteraient des données personnelles pour le compte d’une autre entité.

Les entreprises établies hors de l’UE mais ciblant des résidents européens sont également dans son champ d’application.

Ainsi, si vous collectez et/ou traitez des données personnelles de citoyen européen, vous avez des obligations vis-à-vis de l'internaute. 

En savoir plus.

RGPD : attention aux arnaques  

La CNIL et la Direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF) mettent ainsi en garde les professionnels souhaitant faire appel à une société pour se mettre en conformité au RGPD.

Quelles sont les pratiques abusives constatées ?

Certaines entreprises qui démarchent les professionnels, parfois de manière agressive, pour leur proposer leurs services, se prétendent mandatées par les pouvoirs publics et proposent des prestations onéreuses ou de faux services.

Elles peuvent proposer des prestations incomplètes, comme un simple échange ou l'envoi d'une documentation. Sachez que se mettre en conformité avec le RGPD nécessite un véritable accompagnement par un professionnel qui analyse vos besoins, propose une solution adaptée et assure un suivi.

Quels sont les bons réflexes à adopter pour éviter les arnaques ?

Avant de vous engager avec une entreprise, vérifiez un certain nombre d'informations :

  • l’identité de l’entreprise démarcheuse sur internet par exemple,
  • la nature des services proposés,
  • les dispositions contractuelles ou pré-contractuelles.

Méfiez-vous des entreprises utilisant des communications prenant les formes d'une communication officielle émanant d'un service public.

Ne payez aucune somme d'argent supposée stopper une action contentieuse.

En cas de doute sur le message ou l’appel reçu (identité de l’interlocuteur, numéro de téléphone affiché, etc.), vous pouvez contacter la CNIL. Si vous êtes victime d’une arnaque, vous pouvez également contacter la DGCCRF.

Comment se mettre en conformité ? 

Le RGPD s’appuie sur six grands principes à appliquer.

Pour mettre en œuvre cette conformité, la CNIL recommande un socle de quatre actions essentielles à réaliser en priorité :

  • tenir un registre des traitements pour documenter et avoir une vision claire de tous les traitements de données réalisés dans la structure.
  • minimiser la collecte des données en ne collectant que ce qui est strictement nécessaire, en évitant la conservation inutile, et en instaurant des mécanismes d’effacement ou d’archivage automatique.
  • Respecter les droits des personnes en les informant dès la collecte et en facilitant l’exercice de leurs droits (accès, rectification, suppression, opposition).
  • Sécuriser les données grâce à des mesures techniques (antivirus, mots de passe robustes, sauvegardes régulières) et organisationnelles (formation du personnel, contrôle des accès).

De quels accompagnements et outils pouvez-vous bénéficier ? 

Les guides pratiques RGPD

Le guide de la CNIL

La CNIL propose un guide pour accompagner les acteurs traitant des données personnelles.

Accessible en ligne et régulièrement mis à jour, il contient des fiches pratiques abordant aussi bien les précautions élémentaires à appliquer, les mauvaises pratiques à éviter, que des mesures complémentaires avancées.

Le guide du Comité européen de la protection des données

Le Comité européen de la protection des données (EDPB) propose quant à lui, un guide dédié aux PME, synthétisant les bonnes pratiques et les obligations clés adaptées à leur taille et capacité, notamment en termes de gestion des consentements, droits des personnes, et analyse d’impact.

Consulter le guide

La formation de la CNIL pour se conformer au RGPD

La CNIL a lancé, en mars 2019, une formation gratuite en ligne sur le RGPD : « L'atelier RGPD »

Ce cours à distance (« Mooc ») est ouvert à tous les délégués à la protection des données (DPO) et aux professionnels souhaitant découvrir ou mieux appréhender le RGPD. Il est structuré en six modules que vous pouvez suivre à votre rythme.

Une attestation de suivi par module est remise aux participants à l'issue de la formation.

Inscrivez-vous à l’atelier RGPD

Des certifications sont aussi proposées par la CNIL pour ceux souhaitant attester de leur conformité au RGPD. En savoir plus.

Être accompagné par un expert pour assurer sa conformité au RGPD

Les Activateurs France Num sont des experts du numérique, publics ou privés, qui se sont référencés auprès de France Num pour accompagner les TPE PME dans leur transformation numérique. 

Faites appel aux Activateurs France Num pour vous accompagner dans votre mise en conformité RGPD.

Un autodiagnostic gratuit pour mesurer le niveau de conformité de votre entreprise

EvalRGPD est un autodiagnostic gratuit et en ligne qui permet de mesurer le niveau de conformité RGPD de votre entreprise. Cet outil a été réalisé par la confédération des PME (CPME) avec CINOV numérique et en collaboration avec la CNIL, partenaires de France Num. 

Faite le test

RGPD : quelles sanctions en cas de non-conformité ?

En cas de manquement, des sanctions administratives, financières ou pénales sont encourues.

Pour les manquements les plus graves, les sanctions de la CNIL peuvent atteindre jusqu'à 4 % du chiffre d'affaires annuel mondial ou 20 millions d'euros, le montant le plus élevé étant retenu.