La mise en conformité au RGPD, de la TPE au grand groupe international

4 mars 2020

Artisans, PME, freelance, start-up, Multinationale… Quelle que soit la taille de votre entreprise, vous êtes dans l’obligation de vous soumettre au RGPD dès l’instant où vous traitez les données personnelles de ressortissants européens.

Bien que le RGPD s’applique à chacune de ces structures, la mise en conformité se fait proportionnellement à l’activité et aux moyens dont chacune dispose.
Une TPE, composée de 3 personnes, n’a bien entendu pas les mêmes obligations qu’un géant du numérique. Le seul critère à prendre en compte est le volume ou la sensibilité des données traitées et non pas la taille ou le nombre d’employés.

 

Depuis le 25 mai 2018, collecter et traiter des données personnelles implique avant tout d’informer les personnes sur ce qu’on fait de leurs données et de respecter leurs droits.
En tant que responsable d’un traitement de données, ou en tant que sous-traitant, il est nécessaire de prendre des mesures pour garantir une utilisation de ces données respectueuse de la vie privée.

Seules les activités non soumises à la législation de l'UE, celles liées à la défense nationale par exemple, ne sont pas concernées.

 

RPGD : Passer à l'action en 4 étapes

Quels sont les fondamentaux communs à toutes les structures ?

Cartographier les données

La mise en conformité commence pour toutes les entreprises par un socle commun : l’audit de conformité et une cartographie des traitements mis en place au sein de l’organisation. Une première étape qui permet de connaitre l’existant en termes de procédures et de moyens, et ainsi dresser une liste des traitements mis en œuvre par l’organisme.

L’audit permet d’identifier les mesures à appliquer afin d’atteindre la conformité au RGPD. Ces mesures, bien qu’étant les mêmes pour tous (sécuriser les lieux de stockage des données, prévoir des procédures de réponse aux demandes des utilisateurs, prévoir une durée de conservation des données, etc.), ne seront pas appliquées de la même façon selon les données traitées ou la taille de la structure. Il s’agit ici de faire le tri dans vos données.

Protéger le droit des personnes

Comme précisé, l’objectif premier du règlement européen est de protéger le droit des personnes. C’est la grande bascule du RGPD. Celle de redonner le contrôle des informations personnelles aux personnes concernées.

Il est donc nécessaire de fournir aux personnes concernées une information claire et complète des modalités du traitement : destinataires, finalité, durée de conservation des données, droits offerts, etc. Et ce, sur chaque formulaire visant à collecter des données.

Dans un objectif de transparence et d’information, le RGPD exige que les organismes responsables de traitements de données à caractère personnel se responsabilisent et documentent également leurs procédures et méthodes.  

Coresponsabilité entre le responsable de traitement et sous-traitant

Le texte oblige toute entreprise à s’assurer que le « sous-traitant » qui gère tout ou une partie du traitement impliquant des données à caractère personnel a pris en compte et mis en œuvre les exigences RGPD.

Tous les acteurs sont donc responsables à leur niveau d’éventuelles pertes ou dégradation de données, et peuvent entrainer, le cas échéant, la responsabilité de leur client, donneur d’ordre.

C’est à ce moment que le RGPD doit être perçu comme un véritable avantage concurrentiel, la conformité au RGPD devenant un critère de choix de ses partenaires commerciaux.  

TPE-PME

La mise en conformité a un coût. Il peut représenter un investissement important pour les TPE et PME. Que ce soit au niveau des ressources humaines, de temps et de budget. Cependant, au-delà de la menace de la sanction financière ou de l’impact réputationnel, il est indispensable que les entreprises de petite taille se mettent en conformité.

En tant que sous-traitant, ces entreprises doivent fournir des preuves et des garanties de leur conformité à leur client. Pour les TPE et PME, l’enjeu est de mettre en place, à moindre coût, les mesures indispensables pour que la conformité devienne un critère de compétitivité.

 

Registre de traitements : Les entreprises de moins de 250 salariés n’ont pas d’obligation de tenir un registre sauf pour :

  • Les traitements non occasionnels (exemple : gestion de la paie, gestion des clients/prospects et des fournisseurs, etc.) ;
  • Les traitements susceptibles de comporter un risque pour les droits et libertés des personnes (exemple : systèmes de géolocalisation, de vidéosurveillance, etc.)
  • les traitements qui portent sur catégories particulières de données visées à l’article 9 et 10 du RGPD des données sensibles (exemple : données de santé, infractions, biométrie etc.).

Sécurité

L’exigence de sécuriser entre les espaces de stockage de données n’est évidemment pas interprétée de la même façon entre un géant du web possédant ses propres data centers et faisant face à des risques d’espionnage industriel et de sabotage, et le coiffeur d’un village qui conserve dans une armoire les agendas sur lesquels ils notent ses rendez-vous.

Il sera demandé aux TPE d’assurer la sécurité des données face aux risques (physiques et virtuels) qui pèsent sur les entreprises de taille modeste : on parle surtout ici de fuites de données (accidentelles ou non. Par exemple un cambriolage, ou encore un ancien employé qui part avec une base de données) et de ruptures de service (problème informatique et/ou chute du système).

Cela revient donc à sécuriser les locaux, installer des moyens de contrôle d’entrée, ainsi que de sécuriser les archives et les postes de travail.  

Les ETI et les grands groupes : le registre des traitements

Ces mêmes règles s’appliquent aux organismes de taille plus importante, à leur échelle. Les risques sont de nature différente et ne sont pas appréciés de la même manière, étant donné le volume extrêmement conséquent de données personnelles qui peut être exploité. Ici, le risque est moins la perte ou l’effacement accidentel de donnée, mais plutôt le vol ou le blocage des données contre rançon, ainsi qu’un fort risque réputationnel.

En effet, les sanctions de la CNIL sont rendues publiques, et les scandales de fuites de données massives sont très régulièrement relayées par les réseaux sociaux ou la presse.

Ici, la documentation est donc un élément central de la conformité. Chaque procédure doit être écrite et consultable, toujours dans un objectif d’information et d’auto-responsabilisation des acteurs. Les mentions d’information et des différentes politiques appliquées (gestion des données, conservation des données) devront être facilement accessibles et compréhensibles.

Il est très important d’apporter un soin particulier, au sein des grandes structures, dans la mise en place des circuits d’application des demandes de de particuliers. Concrètement, cela revient à s’assurer qu’une réponse est apportée à chaque intéressé, et cela dans les délais imposés par les textes.

Du fait du caractère massif de leurs traitements de données, les grandes structures sont soumises à de nombreuses requêtes d’utilisateurs, et chaque oubli peut mener à une dénonciation à la CNIL, menant elle-même à un contrôle de conformité et donc une potentielle sanction ! Chaque procédure et chaque opération doit être enregistrée, afin de se prévaloir d’éventuels contrôles.

C’est dans cette optique de transparence et de documentation que les responsables de traitement doivent tenir un registre des traitements qu’ils exploitent. Ce registre contient la liste des traitements de données - de la collecte à la destruction des données, chaque exploitation de données est documentée.  

Un DPO, pour qui ? Pour quoi ?

Le Data Protection Officer (DPO) est un le chef d’orchestre de la mise en conformité. Employé de la structure, ou consultant externe, son rôle est de conseiller le responsable de traitement, et de faire en sorte que l’organisation respecte la règlementation en matière de protection des données. Le DPO est obligatoire pour :

  • Tous les organismes publics,
  • Les organismes dont les activités de base les amènent à réaliser un suivi à grande échelle régulier et systématique des personnes, ou à traiter à grande échelle des données dites "sensibles".

Le RGPD ne définit pas la notion de traitement à grande échelle mais le G29 (Groupe des autorités européennes de protection) en donne une interprétation très large. Il est conseillé cependant, même lorsque son entreprise ne rentre pas dans les critères, de nommer un DPO afin d’être guidé et conseillé dans le processus complexe de mise en conformité. Il permet à toute entreprise, quelle que soit sa taille, d’endosser le rôle l’interface avec les personnes concernées et de vous assister lors des contrôles).

Le RGPD, du fait de son universalité, est donc évidemment soumis à interprétation. Les mêmes règles s’appliquent à tous. C’est alors du ressort du DPO et du responsable de traitement de faire de la gestion du risque, et d’évaluer le degré d’effort à apporter à la mise en conformité à la réglementation en matière de protection des données.  

 

Alexis Cornilleau, Juriste