Tout savoir sur le RGPD

Retrouvez ci-dessous les obligations du RGPD mais aussi les réponses aux questions que vous vous posez régulièrement.

Le RGPD c'est quoi ?

Le RGPD (Règlement Général pour la Protection des Données personnelles) est un règlement européen, ce qui signifie qu’il est entré en vigueur simultanément le même jour, le 25 mai 2018, dans tous les États Membres de l’Union Européenne. C’est donc le même texte qui est applicable partout.  Le but de ce règlement, comme le précise son article 1er est d’établir « des règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et des règles relatives à la libre circulation de ces données. Le présent règlement protège les libertés et droits fondamentaux des personnes physiques, et en particulier leur droit à la protection des données à caractère personnel. »

Le RGPD est parfois perçu comme une “énième réglementation” venue de Bruxelles et imposée aux entreprises et aux citoyens. C’est passer à côté de l’aspect très innovant du RGPD qui a depuis été imité dans de nombreux pays non européens. Le RGPD a été imaginé face à l’explosion des données personnelles collectées et rendues disponibles parfois sans garde-fous.

  1. Le but du RGPD est de protéger les données personnelles des citoyens notamment en imposant des mesures de sécurité aux organismes qui collectent des données
  2. Les applications, sites et réseaux sociaux collectent et traitent de nombreuses données personnelles, et souvent les internautes ne se rendent pas compte des données personnelles qu’ils leur confient à des fins commerciales
  3. Les “traces” laissées par tous sont en augmentation constante. Si l’usage des différentes plateformes de réseaux sociaux augmente, les cartes de fidélité, les caméras de surveillance, etc. collectent également bon nombre de “traces” de nos comportements
  4. Les citoyens sont désarmés face à cette collecte de données personnelles, face à des conditions générales d’utilisation tellement longues et complexes qu’ils ne les lisent pas
  5. Le RGPD encadre l’utilisation des données personnelles et redonne le contrôle aux citoyens en leur donnant notamment le droit d’accès à ses données, le droit de les rectifier et même le droit à l’effacement.

Le RGPD est bâti autour de quelques grands principes pleins de bon sens pour sécuriser au mieux l’utilisation des données personnelles. Le but donc n’est pas d’interdire mais d’encadrer la collecte et le traitement.

LES 4 GRANDS PRINCIPES DU RGPD

  1. MINIMISATION DES DONNÉES COLLECTÉES
    1. ON NE COLLECTE QUE LES DONNÉES STRICTEMENT NÉCESSAIRES
  2. PRÉVENTION ET CYBERSÉCURITÉ
    1. ON MET EN PLACE LES MESURES DE SÉCURITÉ NÉCESSAIRES POUR PROTÉGER LES DONNÉES CONTRE LA PERTE OU LE VOL
  3. TRANSPARENCE ET DROITS D'ACCÈS
    1. ON EXPLIQUE AUX PERSONNES CONCERNÉES CE QUE L’ON FAIT AVEC LEURS DONNÉES
  4. ARCHIVAGE ET DESTRUCTION
    1. ON DÉTRUIT LES DONNÉES LORSQU’ELLES NE SONT PLUS NÉCESSAIRES

Toutes les entreprises, les associations, les professions libérales, les commerçants, les institutions publiques, les médecins, les avocats, les comptables...

  • Prioritairement, les entreprises qui prospectent, gèrent des données
    • B2B et B2C
    • Intermédiation / courtage
    • Métiers du chiffres
    • Gestion contrats
  • Personne n’est exempté
    • Aucune profession, ni institution n’est exonérée de la mise en conformité au RGPD. Même si certaines professions sont soumises à un devoir de confidentialité ou à un secret professionnel, cela n’empêche pas que le RGPD leur soit applicable.
    • Certaines structures sont moins concernés dès lors qu’elles ne collectent pas de données et ont peu de salariés; par exemple des commerçants locaux qui n’auraient ni fichier clients, ni programmes de fidélité…

Il y a deux obligations principales à réaliser:

1 - Mettre en place tout ce qui est exigé par le RGPD

2 - Etre capable de démontrer tout ce que vous avez fait avec un dossier de conformité RGPD

ATTENTION, LE RGPD, CE N’EST PAS QUE LE SITE INTERNET ET LES COOKIES !

  • SITE INTERNET
  • COOKIES
  • CYBERSÉCURITÉ
  • DROIT D’ACCÈS
  • GESTION DES RESSOURCES HUMAINES
  • CONTRATS DE SOUS-TRAITANCE
  • VIOLATION DE DONNÉES
  • DOCUMENTATION
  • DOSSIER RGPD
  • ARCHIVAGE
  • DOCUMENTS PAPIERS
  • BASES DE DONNÉES EXISTANTES
  • CHARTE INFORMATIQUE
  • CLAUSES DE CONFIDENTIALITÉ
  • CAMÉRAS DE SURVEILLANCE
  • FORMATION DU PERSONNEL
  • Mettre en place des mesures de sécurité informatique pour protéger les données
  • Mettre en place les mesures organisationnelles nécessaires pour protéger les données
  • Mettre le site internet en conformité (politiques de vie privée, gestion des cookies, recueil des consentements, etc.
  • Gérer les données des collaborateurs
  • Gérer les sous-traitants à qui l’on confie des données personnelles
  • Mettre en place les procédures de droit d’accès, de rectification, etc. des personnes concernées
  • Vérifier si les bases de données dont vous disposez sont bien conformes au RGPD
  • Mettre en place une procédure en cas de vol ou pertes de données
  • Réaliser si nécessaire une analyse de risques
  • Cartographier vos traitements et compléter le registre des traitements de données

SÉCURITÉ INFORMATIQUE

VOUS ÊTES RESPONSABLE DE LA MISE EN PLACE DE MESURES DE SÉCURITÉ INFORMATIQUES AFIN DE PROTÉGER LES DONNÉES

LIMITER LES ACCÈS AUX DONNÉES

VOUS DEVEZ LIMITER L’ACCÈS AUX DONNÉES À CEUX QUI EN ONT ABSOLUMENT BESOIN

ARCHIVAGE

VOUS DEVEZ DÉCIDER OÙ HÉBERGER LES DONNÉES, SÉCURISER LEUR ARCHIVAGE ET LES DÉTRUIRE QUAND ELLES NE SONT PLUS NÉCESSAIRES

VIOLATION DE DONNÉES

VOUS DEVEZ ÊTRE CAPABLE DE RÉAGIR EN CAS DE HACKING, DE PERTE OU DE VOL DE DONNÉES ET CE DANS LES 72H00

Pourquoi vous devez passer à l’action

4 ANS APRÈS, NUL N’EST CENSÉ IGNORER LE SUJET

S’il pouvait y avoir une forme de tolérance au départ, aujourd’hui, tout le monde a été largement informé. Il est impossible de prétendre ne pas être au courant.

LA CNIL S’INTÉRESSE DE PLUS EN PLUS AUX PETITES ET MOYENNES STRUCTURES

  • Le rôle de la CNIL : facilitateur mais aussi instance de contrôle
  • Priorité au départ sur les Grands Groupes qui ont maintenant fait une grosse partie du travail nécessaire
  • En cas de contrôle, la CNIL peut effectuer des mise en demeure et dans certains cas infliger des amendes
  • Le rapport annuel 2021 de la CNIL dénombre
    • près de 15.000 plaintes
    • des amendes pour plus de 214M€ (+55% par rapport à 2020)
    • 384 contrôles
  • La CNIL a adopté en avril 2022 un système de sanctions simplifiées allant jusqu’à 20.000€ et ce en particulier pour les PME, TPE et indépendants.

DES INDICATEURS EN NETTE PROGRESSION

Le bilan 2021 de la CNIL témoigne à nouveau de la prise de conscience croissante des citoyens qui peuvent contacter la CNIL lorsqu’ils estiment que leurs droits ne sont pas respectés. Ainsi le nombre de plaintes reçues par la CNIL a doublé en 5 ans malgré une stabilisation durant le COVID. Certaines de ces plaintes peuvent amener à des contrôles d’entreprises.

graphique des plaintes de la CNIL concernant le RGPD

Par ailleurs, la CNIL reçoit toutes les notifications de violation de données signalées par des entreprises ou organismes victimes d’incidents ou piratages qui compromettent des données personnelles. Même si une partie de ces événements n’est pas déclarée, le nombre de notifications a bondi de 79% en 2021.

De manière intéressante, sur l’année 2021, 26% de ces notifications émanent de micro-entreprises et 43% de PME. Cela confirme que les plus petites structures sont particulièrement exposées à des attaques et parfois insuffisamment protégées.

QUELS SONT LES AUTRES RISQUES LIÉS À L’INACTION ?

  • En premier lieu, vous risquez de perdre la confiance de vos clients et prospects qui vous confient leurs données si vous ne leur montrez pas que vous protégez leurs données
  • L’autre risque majeur est donc la fuite accidentelle de données ou l’action malveillante (piratage, ransomware,…).
  • En la matière, c’est un peu “RGPD & cyber-sécurité, même combat”
  • N’oubliez pas que la prise en compte de la sécurité des données est une obligation du RGPD
  • Vous devez absolument mettre en oeuvre les mesures de sécurité, que ce soit au niveau informatique ou en ce qui concerne votre organisation
    • Au niveau technique il faut penser aux
      • antivirus
      • système mots de passe efficace
      • mises à jours des logiciels
      • etc.
    • au niveau de l’organisation
      • formation du personnel
      • clauses de confidentialité
      • charte informatique
      • etc
  • Une bonne conformité RGPD limite donc les risques de fraude et de fuites de données

SURTOUT, SE METTRE EN CONFORMITÉ APPORTE PLEINS DE BÉNÉFICES CONCRETS

  • “Mettre les choses au carré”
  • Montrez à vos clients, partenaires que vous prenez le sujet au sérieux
  • Conscientiser vos collègues et collaborateurs à la protection de la vie privée
  • Ne plus craindre des audits de la CNIL ou de clients
  • Réfléchir aux risques liés à la gestion de données personnelles
  • Mettre en oeuvre des mesures de sécurité proportionnelles aux risques de votre organisation
  • Collecter des données dans le respect de la réglementation
  • Montrer sur votre site internet que vous avez pris la vie privée en compte
  • Pouvoir répondre aux demandes de droit d’accès, de rectification
  • Mettre en oeuvre une politique d’archivage et de destruction des données en fin de vie

Comment faire pour se mettre en conformité ?

PAR OÙ COMMENCER ?

  • LES AVOCATS, CONSULTANTS ET AUTRES PRESTATAIRES VONT SEMBLENT TROP CHERS ?
  • TROP COMPLIQUÉ POUR Y ALLER TOUT SEUL ?
  • BREF, VOUS NE SAVEZ PAS PAR QUEL BOUT LE PRENDRE ?
labyrinthe

VOICI QUELQUES ALTERNATIVES POUR VOUS METTRE EN CONFORMITÉ

  • Ne rien faire
  • Tout faire en interne en s’appuyant sur des outils, supports
  • Faire intervenir un prestataire (avocat ou conseil spécialisé)
  • Confier le tout à un DPO externe

 

En pesant le “pour et le contre”, vous verrez sans doute qu’il n’existe pas de solution parfaite, chaque entreprise/structure a un besoin particulier, un contexte propre. Il faut bien prendre en considération le coût et l’investissement en temps, aujourd’hui et dans le futur.

NOS CONSEILS POUR VOUS METTRE EN CONFORMITÉ

  • Viser une conformité durable
    • Pas juste une mission “coup de poing”
    • Plutôt un programme qui s’étend dans la durée et qui pourra vraiment être intégré
      • Plus simple lorsque vos process évoluent
      • Plus facile d’y aller à “doses homéopathiques”
  • Impossible de tout déléguer, c’est votre activité, ce sont vos process, vos clients etc
    • Vous devez avoir une maîtrise du sujet même si personne chez vous n’est dédié à ce sujet
    • Surtout, vous devez être capable de respecter vos engagements par ex sur les traitements et la suppression des données
  • Une approche 360 qui aborde tous les sujets RGPD sur toutes les dimensions
    • Pas juste la politique de données personnelles
    • Pas juste une approche juridique ou technique
  • Faire simple, viser le 80/20
    • Prioriser les sujets
    • Utiliser des modèles éprouvés, pas besoin de “toujours réinventer la roue”
    • Par ex, la politique de données doit être simple et facile à comprendre par le commun des mortels

MONDOSSIERRGPD DISPOSE DE VRAIS ATOUTS POUR VOUS AIDER DANS VOTRE DÉMARCHE

  • Un coût très abordable par rapport aux alternatives
  • Vous démarrez immédiatement
  • Vous pouvez avancer de manière autonome et compléter le questionnaire
  • Vous savez rapidement où vous en êtes
  • Vous disposez de tous les documents légaux nécessaires pour “ajuster le tir”
  • Votre dossier RGPD se construit au fur et à mesure
  • Etc.

MONDOSSIERRGPD EST UNE SOLUTION SMART POUR VOTRE CONFORMITÉ

visuel SMART

MonDossierRGPD est la solution pour les TPE PME, professions libérales, associations et autres structures publiques

 

Vous disposez d’un indicateur de résultat qui vous montre au fur et à mesure l’évolution de votre conformité

 

Vous pouvez démarrer immédiatement et en quelques heures vous pourrez montrer les efforts accomplis

 

MonDossierRGPD vous permet de montrer à vos clients, vos prospects, vos collaborateurs et en cas de contrôle votre conformité au RGPD

 

Grâce à MonDossierRGP, la mise en conformité devient un objectif atteignable rapidement

Réalisation & référencement Simplébo

Connexion