FRANCE + 33 (0)1 85 15 39 70

 
 

BELGIQUE +32 (0)475 98 21 15

FAQ sur le RGPD pour les TPE PME et ASSOCIATIONS

Le RGPD c'est quoi ?

Le règlement Général sur la Protection des Données en quelques mots !

Le RGPD, qu'est-ce que c'est ?

Le Règlement Européen sur la Protection des Données Personnelles (RGPD) est une règlementation qui a pour but de protéger la vie privée des consommateurs et des citoyens européens.

Le RGPD concerne toute l'Europe ?

Le texte du RGPD est applicable dans tous les pays européens depuis le 25 mai 2018. 

C'est obligatoire ?

Bien entendu, c'est obligatoire pour toutes les organisations, petites ou grandes, du secteur public ou du secteur privé, et même pour les associations, les travailleurs indépendants.

En quoi le RGPD protège la vie privée?

Le RGPD apporte des droits aux individus qui peuvent poser des questions concernant l'usage de leurs données personnelles et impose de nombreuses obligations aux organisations dont notamment une obligation de transparence concernant l'usage des données personnelles.

Que se passe-t-il si on ne respecte pas ma vie privée?

Si une organisation ne respecte pas le RGPD elle peut se voir imposer une amende importante. De plus les consommateurs et les citoyens peuvent porter plainte auprès de l'autorité nationale pour faire respecter leurs droits.

Le sociétés étrangères comme Facebook ou Google doivent le respecter?

Oui, les sociétés étrangères comme Facebook ou Google, qui ont des clients en Europe doivent respecter le RGPD. Certaine sociétés étrangères ont été condamnées à de leurs amendes de plusieurs centaines de milliers d'euros pour non respect du RGPD.

C'est quoi une donnée personnelle ?

Il s'agit de tout élément que vous collectez qui permet d'identifier une personne comme son nom, sa photo, son numéro de sécurité sociale, son adresse, son numéro de portable, etc. Et donc toute organisation collecte des données personnelle et est donc soumise au RGPD

En quoi suis-je concerné par le RGPD ?

Sociétés, associations, entreprises, secteur public, travailleurs indépendants, tous sont concernés

Certains secteurs économiques sont-ils dispensés ?

NON ! Aucun secteur d'activité commercial ou industriel n'est dispensé de se mettre en conformité au RGPD. Même si certaines professions ont une déontologie, un code de conduite, ou même un secret professionnel, aucune n'échappe à, l'obligation de respecter le RGPD.

Les TPE et PME sont-elles concernées ?

OUI ! Même les très petites entreprises, même des sociétés d'une personne doivent se mettre en ordre. En effet elles gèrent des données personnelles de clients, de prospects, de collaborateurs et donc le RGPD s'applique pour protéger leur vie privée.

Les associations non commerciales sont-elles concernées?

OUI ! Même les associations, même très petites doivent se mettre en ordre. En effet elles gèrent des données personnelles de membres, de contacts, de collaborateurs et donc le RGPD s'applique pour protéger leur vie privée.

Les travailleurs indépendants sont-ils concernés?

OUI ! Même les indépendants, même les micro entrepreneurs doivent se mettre en ordre. En effet ils gèrent des données personnelles de clients, de prospects, de collaborateurs et donc le RGPD s'applique pour protéger la vie privée de ces personnes.

Je n'ai pas de site internet, ça me concerne?

OUI! Le RGPD concerne tous les traitements de données personnelles, même si tout se traite sur papier, ou si il n'y a aucune utilisation de site internet ni même d'utilisation d'internet. Le simple fait de traiter des données personnelles dans le cadre de son activité suffit pour être soumis au RGPD.

RGPD : que dois-je faire ?

Quelles sont les principales obligations pour respecter le RGPD?

Que dois-je faire concrètement?

Le RGPD vous impose, non seulement de vous mettre en conformité au RGPD, mais aussi et surtout d'être capable de le démontrer. Vous devez créer un dossier pour démontrer tout ce que vous avez fait.

Quelles informations doivent se trouver dans mon dossier RGPD ?

Votre dossier RGPD doit notamment détailler (1) ce que vous avez fait pour votre site internet, (2) les mesures de sécurité pour protéger les données personnelles, (3) les aspects liés aux ressources humaines, (4) comment vous gérez les droits des personnes dont vous détenez les données et (5) les pertes de données éventuelles,(6) les différents traitements de données que vous réalisez, (7) les relations que vous avez avec vos sous-traitants

Dois-je me faire aider par un avocat ou un consultant ?

Ce n'est pas indispensable. Des applications telles que GDPRfolder vous aident à compléter un dossier permettant de démontrer ce que vous avez fait pour vous mettre en conformité. Néanmoins, le support d'un avocat spécialisé en RGPD ou d'un expert en cette matière peut vous aider si vous le souhaitez.

Que dois-je faire concernant notre site Internet?

Le RGPD impose de mettre en place une communication claire et transparente

Dois-je mettre une politique de vie privée même si je ne collecte pas de données sur le site?

Il est recommandé de mettre sur chaque site internet un document d'information des visiteurs afin de leur expliquer quelle est votre politique de gestion des données personnelles. Tout comme il est important de mettre les mentions légales et un disclaimer.

Que dois-je faire si je propose une newsletter sur mon site ?

Pour qu'une personne s'inscrive à votre newsletter, il faut qu'elle vous donne son adresse email. Il est donc nécessaire de lui faire approuver, de donner son consentement à votre politique de gestion des adresses emails dans le cadre de votre newsletter. Vous devrez demander aux personnes intéressées d'accepter votre politique de vie privée et vous devrez garder la preuve du consentement de ces personnes.

Que dois-je faire si je propose une formulaire de contact pour les visiteurs du site ?

Si vous proposez un formulaire de contact sur votre site, la personne concernée doit savoir ce que vous allez faire de ses données. Il est donc nécessaire de lui proposer une politique de vie privée qu'elle doit approuver avant de vous envoyer sa demande de contact. Et vous devrez conserver la preuve du consentement de cette personne.

Une seule politique de vie privée pour toutes les collectes de données du site est-elle suffisante ?

NON. Vous ne pouvez pas proposer une seule politique de gestion des données personnelles si vous proposez sur votre site une neswletter, des achats en ligne, un formulaire de contact opu de offres d'emploi. Chacune de ces possibilités collecte et gère des données personnelles différemment.

Comment dois-je recueillir le consentement des personnes qui s'inscrivent ou achètent sur mon site?

Il est indispensable que les personnes cochent une case qui montre qu'ils ont accepté et lu votre politique de vie privée et ce avant d'envoyer leurs données. Et si la personne ne clique pas sur la case, vous devez lui signaler que vous ne pouvez pas collecter des données si elle n'accepte pas votre politique de vie privée.

Quels sont les droits des personnes dont je collecte les données?

Le RGPD reconnait des droits aux consommateurs et aux citoyens !

Qu'est-ce que le droit d'accès ?

Toute personne physique a le droit de demander à toute organisation qui collecte des données si elle dispose de données à son sujet. Et vous avez un délai de 30 jours pour lui répondre.

Qu'est-ce que le droit de rectification ?

Si vous avez répondu à une demande de droit d'accès, et que la personne concernée considère qu'il y des erreurs dans les données collectées elle peut demander de les rectifier. Si par exemple elle constate que sa date de naissance est erronée elle peut demander qu'elle soit rectifiée. 

Qu'est-ce que le droit d'effacement ou droit à l'oubli ?

Une personne peut demander à une organisation d'effacer les données qu'elle détient à son sujet. Mais il y a des exceptions. Si les données sont collectées par exemple pour des raisons fiscales par le ministère des finances il n'est pas possible de demander leur effacement car elles sont collectées du fait de la loi. De même pour un site d'e-commerce, les obligations comptables et fiscales peuvent nécessiter de conserver les données même si le client souhaite les effacer.

Comment dois-je réagir en cas de demande ?

Il y a quelques précautions à remplir: 1/ il est nécessaire de vérifier si la personne qui exerce ses droits est bien la bonne personne et donc vous êtes obligés de vérifier son identité. 2/ Vous avez un mois pour lui répondre et donc il est important que vous disposiez d'un inventaire de vos bases de données. 3/ vous devez bien entendu garder l'historique de la demande et de votre réponse pour démontrer que vous avez répondu.

Quel délai ai-je pour réagir à une demande ?

Le délai est d'un mois après la réception de la demande et la vérification de l'identité de la personne. Il y a quelques possibilités de prolonger le délai lorsque le travail est disproportionné. Si je demande à une énorme institution toutes les données qui me concernent elle peut me demander de préciser ma demande ou avoir un délai de deux mois supplémentaire

Quelles sont les bases légales nécessaires pour collecter des données ?

On ne peut collecter des données que dans certaines situations autorisées 

Quels sont les possibilités de collecte de données ?

Le RGPD ne permet de collecter des données que fans les seuls cas où vous avez une base légale, que ce soit le consentement de la personne, un contrat, etc. Il n'y a que 6 bases légales qui sont expliquées ci-dessous

Comment gérer la collecte de données avec un consentement?

Vous pouvez traiter des données personnelles si la personne concernée vous a donné son consentement. Vous devez être capable de prouver que vous avez reçu ce consentement, soit sur papier soit via une case à cocher sur un site. Attention: 1/ il n'y a pas de consentement implicite, le consentement doit être expressément et spécifiquement donné pour le traitement de données que vous proposez à la personne 2/ La personne concernée peut retirer son consentement à tout moment et sans justification

Comment peut-on utiliser l'intérêt légitime pour collecter des données ?

Cette base légale est complexe et elle doit résulter de l'équilibre entre l'intérêt du responsable de traitement et le respect des données personnelles des personnes concernées. Un exemple est la possibilité de contacter d'anciens clients pour leur proposer des produits ou services similaires

Comment un contrat peut permettre de collecter des données ?

Lorsque vous signez un contrat, ou que vous êtes dans des négociations avant contrat, vous pouvez traiter des données. Par exemple dans le cadre d'un recrutement vous allez collecter un CV, les données de l'interview, etc.

Comment une obligation légale permet de collecter des données ?

La loi peut permettre d'effectuer des traitements de données. Par exemple le ministère des finances a l'obligation légale de traiter vos données fiscales. 

Comment une mission d'intérêt public permet de collecter des données ?

La loi peut confier une mission d'intérêt public soit à un acteur public soit à un acteur privé. Il est impératif dans ce cas de faire référence à la règlementation qui confie cette mission au responsable de traitement lors de l'information aux personnes concernées.

Comment l'intérêt vital permet de collecter des données ?

C'est un cas très limité, lorsque la vie de la personne est en danger il est permis de collecter et de traiter des données sans consentement. 

Que dois-je faire en cas de vol ou de pertes de données ?

La cybercriminalité existe et les erreurs humaines aussi !

Que faire lorsque je constate une perte ou un vol de données?

Lorsque vous constatez une perte ou un vol de données (cybercriminalité, perte d'un PC portable, envoi par erreur d'informations confidentielle à la mauvaise personne, etc.) vous devez analyser les conséquences de ce fait.

Dois-je réagir rapidement ?

OUI ! Vous avez un maximum de 72 heures pour prendre une décision qui dépendra de la gravité de l'incident. Vous avez trois réactions possibles: 1/ vous considérez que l'incident n'est pas grave et vous ne faites rien (exemple un PC portable perdu qui est retrouvé le lendemain) 2/ L'incident est grave et vous devez contacter l'autorité nationale de protection des données 3/ L'incident est très grave et peut avoir des conséquences pour les personnes concernées vous devez alors les prévenir.

Dois-je prévenir les autorités ?

Si vous estimez que l'incident est grave, ou si vous avez un doute sur sa gravité, vous devez contacter l'autorité nationale de protection des données endéans les 72 heures. Il y a un formulaire de déclaration sur le site de cette autorité.

Dois-je prévenir les personnes concernées ?

Uniquement s'il y a des conséquences graves pour les personnes concernées, par exemple en cas de divulgation de données médicales. Dans ce cas vous devez en informer toutes les personnes concernées.

A quoi sert le délégué à la protection des données (DPD ou DPO) ?

Le délégué à la protection des données (DPD) appelé aussi Data Protection Officer (DPO) a un rôle important

Dois-je obligatoirement désigner un DPO ?

NON ! Il est obligatoire de désigner un DPO pour les organismes du secteur public, pour les grandes organisation, pour celles qui traitent un grand nombre de données. Pour les PME, les travailleurs indépendants, les ONG, les associations il n'est pas obligatoire de désigner un DPO.

Quel est le rôle du DPO ?

Le DPO est indépendant de la direction, un peu comme un commissaire aux comptes. Il a un rôle de conseil et de de contrôle du respect du RGPD, il aide l'organisation à se mettre en conformité.

En tant que chef d'entreprise puis-je être le DPO ?

NON ! c'est même interdit car cela créerait un conflit d'intérêt entre les décisions de la direction d'une part et l'obligation de respecter le RGPD d'autre part. Aucun membre de la direction ne peut être DPO de son organisation.

DPO interne ou externe ?

Il y a des avantages et inconvénients pour chacun. Un DPO interne connait bien l'entreprise mais aura moins d'expériences et risque de se faire influencer par ses collègues. Un DPO externe connait moins bien l'entreprise mais aune expérience de DPO plus importante et est plus indépendant de l'entreprise.

Qu'est-ce que le registre des traitements ?

Le registre des traitement décrit les traitements de données que vous effectuez 

Le registre des traitements est-il obligatoire ?

Il est obligatoire pour les organisations comptant moins de 250 collaborateurs sauf si celle-ci effectue des traitements comportant des risques pour les personnes concernées ou concernant des données sensibles.

Que comprend le registre des traitements ?

Le registre comprend la description du traitement, les données personnelles concernées, les mesures de sécurité, les finalités du traitement, sa base légale, les éventuels destinataires des données, etc. Toutes ces données vous permettront d'avoir une bonne vision des traitements que vous effectuez et de la façon dont vous respectez le RGPD.

Le registre des traitements est-il utile ?

OUI, même dans les cas où le registre n'est pas obligatoire, les autorités de protection des données conseillent de le compléter car il permet d'avoir une bonne vision des traitements de données effectués.

Comment gérer les fournisseurs et sous-traitants à qui je confie des données personnelles ?

Vous êtes responsables du choix de vos sous-traitants qui doivent aussi respecter le RGPD !

Qu'est-ce qu'un sous-traitant selon le RGPD ?

Le RGPD considère qu'un sous-traitant est une organisation à qui vous confiez des données pour en faire un traitement selon vos instructions. Par exemple vous faites une campagne d'emailing et vous confiez la liste de vos clients à un fournisseur pour qu'il gère la campagne d'email.

Suis-je responsable du respect du RGPD chez mes sous-traitants ?

OUI ! Vous êtes responsables du choix de vos sous-traitants et donc s'ils ne respectent pas le RGPD, vous pouvez en être tenu responsable par rapport aux personnes concernées.

Dois-je signer un contrat avec mes sous-traitants ?

OUI ! Le RGPD impose la signature d'un contrat spécifique reprenant les droits et obligations du sous-traitant et notamment son obligation de respecter le RGPD.

Que se passe-t-il si un de mes sous-traitants est non européen ?

Vous êtes également responsable du choix de votre sous-traitant non européen. Dans ce cas des mesures de sécurité spécifiques doivent être prises car certains pays posent problème, comme les Etats-Unis. A titre d'exemple Google Analytics a été déclaré contraire au RGPD et il est donc obligatoire de choisir une autre solution sous peine d'être tenu responsable et de risquer des sanctions.

Quels sont les contrôles et sanctions pour non respect du RGPD ?

Négliger de respecter le RGPD ou être incapable de démontrer sa conformité n'est pas sans risque !

Qui peut contrôler mon respect du RGPD ?

Beaucoup de monde peut vous demander si vous respectez le RGPD: vos clients, vos fournisseurs, lors d'appel d'offre, et bien entendu les autorités de protection des données. Et n'oubliez pas que non seulement le RGPD vous impose de vous mettre en règle, mais aussi d'être capable de le démontrer, d'ou l'intérêt du dossier RGPD.

Quelles sont les sanctions possible ?

Des amendes importantes qui peuvent aller jusqu'à 20 millions d'euros ou 4% du chiffre d'affaire annuel. Mais n'oubliez pas l'atteinte à votre réputation lorsqu'on saura que vous ne respectez pas les données personnelles qu'on vous confie

Les petites organisations reçoivent-elles des amendes ?

OUI ! Même si l'on parle beaucoup des millions d'euros imposés à de grands groupes comme Google, il y a déjà eu de nombreuses amendes imposées à des PME, des associations et même des travailleurs indépendants. 

Acronymes

Vous trouverez ici un certain nombre d'acronymes utilisés dans le cadre du RGPD

La CNIL c'est quoi ?

La CNIL est la Commission Informatique et Liberté qui est l'autorité française en charge du contrôle du respect du RGPD et qui a des pouvoirs de contrôle et peut imposer des amendes. 

Le CEPD c'est quoi ?

Le Contrôleur Européen pour la Protection des Données se compose des 27 autorités nationales de protection des données et a pour rôle principal d'émettre des recommandations concernant l'application du RGPD.

L'APD c'est quoi ?

L'APD est l'autorité de protection des données belge

La CNPD c'est quoi ?

la CNPD est l'autorité de protection des données luxembourgeoise

Une AIPD ou une DPIA c'est quoi ?

une AIPD est une analyse d'impact en protection des données (souvent appelée DPIA selon l'acronyme anglais. Il s'agit d'une analyse de risques qu'il est obligatoire de réaliser dans certains cas comme le traitement en grand nombre de données sensibles

l'EDPB c'est quoi ?

L'European Data Protection Board est lé dénomination anglaise du CEPD.

Réalisation & référencement Simplébo

Connexion