Externalisation de fonction : vos devis en quelques clics !
Externalisation de fonction : vos devis en quelques clics !

Externalisation de fonction : Loi RPGD : définition et mise en conformité pour les TPE/PME

Temps de lecture : 8 min

Depuis le 25 mai 2018 on ne parle plus que d’elle : la loi RGDP (ou GDPR pour l’acronyme anglais). Une petite révolution qui s’avère être un véritable casse-tête pour la plupart des chefs d’entreprise. Retour sur cette mesure devenue incontournable pour votre société.

Tout ce qu’il faut savoir sur la loi RGPD

La loi RGPD, qu’est-ce que c’est ?

Entré en vigueur le 25 mai 2018, l’acronyme RGPD signifie « règlement général sur la protection des données ». L’objectif de cette loi est de responsabiliser les organismes traitant des données personnelles et de renforcer les droits des utilisateurs.

Évoquée dès le 27 avril 2016, elle s’applique aujourd’hui à l’ensemble des entreprises européennes, et ce, quelle que soit leur taille ou leur secteur d’activité. Les dirigeants de TPE/PME sont donc directement concernés par ce dispositif.

Ce que ça change pour les utilisateurs Contrairement aux idées reçues, les composantes de la loi RGPD ne nous sont pas totalement inconnues. Elles reprennent de grands principes sur le consentement, le droit à l'oubli, la suppression des informations au-delà d'une certaine durée, ou encore le choix d'un responsable des données. Disons simplement que la grande différence réside dans l’uniformité des règles juridiques à l’échelle européenne.

Avec cette mesure, chacun pourra désormais avoir accès à ses propres données, les modifier, ou s'opposer à leur utilisation (notamment commerciale). Afin de continuer à exploiter ces données, les entreprises devront demander la permission à chaque utilisateur. Voilà pourquoi depuis le 25 mai 2018, de nombreux sites font apparaître un pop-up demandant l’autorisation d’exploiter les données transmises via leur plateforme. Bien entendu, libre à chacun de donner ou non son consentement.

Le rôle des différentes parties dans le cadre du RGPD

Le rôle de la CNIL dans le dispositif RGPD

On connaît le rôle de la Commission nationale de l'informatique et des libertés (CNIL), sur tout ce qui concerne le suivi des plaintes, ainsi que le relais d’informations relatives aux données privées. Puisque les principes fondamentaux de la protection des données restent globalement inchangés (sécurité des données, loyauté et licéité du traitement, durée de conservation...), l’objectif premier de la CNIL sera de continuer à faire appliquer ces règles déjà existantes.

En revanche, avec la loi RGPD 2018, de nouvelles obligations et de nouveaux droits seront désormais applicables (droit à la portabilité…) et feront l’objet de contrôles.

En ce qui concerne les sanctions applicables avec RGPD, il est important pour les entreprises de comprendre qu’elles risquent gros ! Toutefois, l’intervention de la CNIL se veut pédagogique. L’objectif n’est pas de sanctionner, mais d’accompagner les sociétés dans leur mise en conformité. Ainsi, les sanctions peuvent suivre plusieurs étapes :

- Avertissement ou mise en demeure et rappel des règles de mise en conformité,

- Injonction, ordre de cessation immédiate des violations,

- Limitation, ou suspension temporaire des traitements,

- Sanctions administratives en cas d’inefficacité des injonctions, ou de récidive.

Pour les sociétés qui manqueraient à leurs obligations malgré les avertissements, plusieurs sanctions administratives et pénales sont à prévoir.

Pour ce qui est des sanctions administratives :

- Une amende de 10 millions d’euros ou 2 % du chiffre d’affaires mondial, pour le non-respect des obligations (amande incombant au responsable du traitement et au sous-traitant, à l’organisme de certification et à l’organisme de suivi des codes de conduite).

- Une amende de 20 millions d’euros ou 4 % du chiffre d’affaires mondial pour le non-respect de l’obligation de consentement (obtention du consentement par des moyens détournés) et les autres droits des personnes concernées, l’obligation de mettre en place des mesures spécifiques en cas de transferts des données dans un pays hors de l’Union Européenne, des obligations découlant des droits des États membres, des injonctions et autres mesures prononcées par la CNIL.

À noter que les sanctions administratives ne peuvent se substituer aux sanctions pénales. Une entreprise qui manquerait à ses obligations peut donc tout à fait être poursuivie en justice par des victimes, ou par les personnes impactées par les erreurs commises.   Vous conviendrez donc qu’il est préférable de se mettre rapidement en conformité avec la loi RGPD.

Les nouvelles obligations applicables dans les entreprises

L’entrée en vigueur de la loi RGPD a bousculé certaines habitudes et il n’est pas toujours simple de démêler le vrai du faux. Voici donc une liste des principales obligations applicables par tous les chefs d’entreprise depuis le 25 mai 2018 :

- Optimiser la sécurité des données personnelles,

- Obtenir le consentement des personnes concernées via un acte positif,

- Informer les personnes concernées sur les raisons du traitement (principe de transparence, droit à l’information…)

- Garantir le respect des droits des personnes par la mise en place de mesures appropriées (droit à l’oubli, portabilité…)

- Tenir un registre des traitements de données,

- Désigner un DPO (obligatoire dans certains cas),

- Réaliser des analyses d’impact pour les traitements engendrant des risques importants pour les droits et libertés des personnes concernées.

L’importance du DPO

Le DPO (comprenez « date data-protection officer »), est la personne en charge de la protection des données personnelles traitées par l’entreprise. Ces missions consistent à informer, conseiller et former les équipes à la protection des informations à caractère personnel. Le DPO est donc responsable de la bonne application des principes de la loi RGPD 2018 et travaille en lien direct avec la CNIL. Ce professionnel peut être un salarié de l’entreprise ou un sous-traitant. Le cas échéant, il peut également accomplir ses missions en signant un contrat de service.

Selon la CNIL, la désignation d’un délégué à la protection des données est obligatoire si :

- Vous êtes un organisme public,

- Vous êtes une entreprise dont l’activité de base vous amène à réaliser un suivi régulier et systématique des personnes à grande échelle, ou à traiter à grande échelle des données dites « sensibles », ou relatives à des condamnations pénales et infractions.

Bien qu’il ne soit pas formellement obligatoire de nommer un DPO, la démarche reste toutefois conseillée, afin d’éviter les éventuelles sanctions.

RGPD : comment se mettre en conformité ?

Afin de vous aider à y voir plus clair, voici 4 étapes de mise en conformité à la loi RGPD.

Etape 1 : Constituer un registre des traitements

Ce registre vous permettra de recenser vos fichiers, tout en effectuant un suivi régulier de leur utilisation. Placé sous la responsabilité du dirigeant de l’entreprise, ce registre doit pouvoir être mis à jour régulièrement, avec l’aide des personnes chargées de la collecte des données.

À noter que les PME de moins de 250 salariés ne sont pas dans l’obligation de tenir ce registre, bien que celles-ci soient concernées par la réglementation RGPD.

Etape 2 : Trier vos données

Ne prenez pas la mauvaise habitude d’accumuler. Vous récoltez des milliers de données, mais demandez-vous si ces dernières ont un réel intérêt pour le développement de votre activité. Ensuite, vérifiez que vous n’utilisez pas des données dites « sensibles » et si c’est le cas vérifiez que vous en avez le consentement (comme le prévoit la loi RGPD).

Etape 3 : Respecter le droit des personnes

Depuis l’entrée en vigueur de la loi RGPD 2018, vous avez un devoir d’information et de transparences concernant la collecte et la transmission des données à caractère personnel.

Pour ce faire, vous devez impérativement :

- Expliquer la raison de cette collecte de données,

- Demander le consentement de chaque utilisateur,

- Indiquer qui aura accès à ces données et pour combien de temps, - Détailler les modalités selon lesquelles les personnes pourront exercer leurs droits d’effacement ou de modification par exemple,

- Si ces données récoltées sont susceptibles de sortir de la zone européenne.

Etape 4 : Sécuriser les données

Vérifiez que les données collectées soient suffisamment protégées des piratages et autres déconvenues informatiques. Changez régulièrement vos mots de passe, faites les mises à jour sur les antivirus, ne confiez pas l’accès des données à n’importe qui … Des choses simples qui sont malheureusement parfois négligées dans les petites entreprises. Le danger ne se mesurant pas au nombre de salariés, garder à l’esprit que ces données sensibles sont une mine d’or que beaucoup de personnes aimeraient s’approprier. Quel budget prévoir pour la mise en conformité RGPD ?

L’un des points très attendus par les entreprises (et particulièrement par les TPE/PME), c’est la question du coût de cette mise en conformité RGPD. Comme pour beaucoup de choses, la tarification dépendra de la taille de votre entreprise, mais également de la quantité de données stockées. Pour vous donner un ordre d’idée, pour votre audit RGPD, comptez entre 3 et 10 jours d’intervention, payés entre 700 et 900 € la journée pour chaque système.

Par la suite, vous devrez réaliser les analyses d’impact des données. Vous pouvez choisir de le faire seul, ou de faire appel à un cabinet juridique. Bien que plus onéreuse, la deuxième solution reste la mieux adaptée aux TPE/PME, car elle vous permettra d’éviter les erreurs et de gagner un temps précieux. Pour cette intervention, comptez environ 200 € de l’heure, sachant qu’une journée complète sera nécessaire.

En ce qui concerne les corrections (suites aux audits et aux analyses d’impact), la facture est plus compliquée à chiffrer. La mise en place de ces correctifs peut concerner votre prestataire IT, votre cabinet juridique et/ou vos équipes en interne.

Enfin, il est recommandé de garder une petite enveloppe budgétaire destinée à la mise en conformité régulière de la loi RGPD. Sur le moyen/ long terme, cette dernière vous permettra de mettre à jour vos documents, d’effectuer de nouvelles corrections, de financer les missions de votre DPO…

Bon à savoir :

Pour obtenir les meilleurs tarifs, n’hésitez pas à comparer les prestataires ! Companeo c’est depuis près de 20 ans le leader français de la mise en relation entre professionnels. Alors comme des milliers de chefs d’entreprise, facilitez votre recherche en effectuant une demande de devis directement sur notre site. C’est simple, rapide et pratique ! En seulement 3 clics, recevez les propositions de plusieurs prestataires proches de chez vous.

Alors n’attendez plus !

Découvrez le guide d'achat en Externalisation de fonction

Sommaire
Externalisation de fonction

Comparez et faites
jusqu'à 30 % d'économies

Comparez