Qu’on se le dise une fois pour toute : nous sommes tous concernés par le Règlement Général sur la Protection des Données (RGPD) !
La vraie question est de savoir si nous avons pris la mesure des implications de ce nouveau cadre réglementaire… et comment le mettre en œuvre.
Le Pôle SCS et les cabinets KPMG et Bignon Lebray se sont efforcés de trouver une réponse simple et efficace pour permettre aux startups et PME du numérique de bien comprendre le RGPD et les guider dans leur mise en conformité.
- A quoi sert le RGPD : c’est quoi une donnée personnelle ?
Le Règlement Général sur la Protection des Données est entré en vigueur depuis le 25 mai 2018. Ce règlement « sacralise » la protection des données à caractère personnel. Il harmonise les pratiques et les obligations entre les différents états membres et surtout établit des règles pour tous y compris hors Union Européenne. De ce fait, il constitue une réelle protection des citoyens européens vis-à-vis de l’utilisation faite par les entreprises et notamment les acteurs majeurs du numérique et des réseaux sociaux, grands concentrateurs de données personnelles.
Mais qu’est-ce qu’une donnée personnelle dans le contexte d’une entreprise ?
Est considérée comme une donnée personnelle, toute information se rapportant directement ou indirectement à une personne physique identifiée comme par exemple (liste non exhaustive) : un nom de famille, un numéro d’identification, une donnée de localisation, un identifiant en ligne, un élément spécifique propre à une identité physique, physiologique, génétique, psychique, économique, financières, culturelle ou sociale.
Toute entreprise, petite ou grande, est donc en possession de données personnelles ne serait-ce que dans ses fichiers clients et prospects ou par rapport à ses salariés dont elle détient les noms, numéros de sécurité sociale ou autre information obligatoire pour établir un contrat de travail.
La RGPD s’applique par conséquent à tous !
- Quels sont les points de complexité à bien appréhender ?
Pour bien comprendre les obligations du règlement, il faut aborder notamment les notions de « traitement », de « responsable du traitement », de « sous-traitant »…
Une définition précise des termes est faite dans l’article 4 du règlement, que vous pouvez consulter ICI
Ainsi, concernant le registre des traitements, celui-ci doit être clairement tenu à jour et doit documenter tous les traitements de données personnelles. En cas de violation des données personnelles, il est obligatoire de notifier cette violation à l’autorité de contrôle, la CNIL pour ce qui concerne la France, et aux personnes concernées dans les 72 heures après l’incident.
Autre point de vigilance fondamental, la protection des données doit être pensée dès la conception du produit ou service de l’entreprise, ce qui est appelé « Privacy by Design ». Cela s’applique directement aux éditeurs de logiciels, de plateformes ou d’applications mobiles. Par ailleurs, en cas de recours à des sous-traitants, il faut s’assurer du respect du RGPD par tous les sous-traitants et garantir à chaque niveau l’obligation de sécuriser les données personnelles. En effet, le donneur d’ordre est maintenant tenu responsable de la conformité de ses sous-traitants.
Enfin, pour toute entreprise, dont l’activité principale est de réaliser un suivi régulier et systématique des personnes à grande échelle, ou à traiter à grande échelle des données dites « sensibles », est soumise à la désignation d’un DPO (Data Protection Officer). Celui-ci est garant du respect des obligations dans le temps et agit comme point de contact vis-à-vis de la CNIL. Le non-respect du RGPD n’est pas une option.
Le non-respect de la conformité peut avoir des impacts non négligeables. Non seulement financier puisque l’amende administrative peut aller jusqu’à 4% du CA ou 20M€ mais aussi des impacts d’image, de mauvaise publicité sans compter les poursuites éventuelles au civil ou au pénal par des personnes portant plainte contre une société pour non protection et respect de ses données personnelles
Tous concernés d’où la nécessité d’un accompagnement professionnel sur mesure pour les entreprises du numérique
Les membres du Pôle SCS sont nombreux à travailler avec des données personnelles. Pour accéder à une compréhension claire du règlement, de multiples offres de sensibilisation, de formation ou d’accompagnement existent dans l’écosystème régional. Toutefois, le travail de diagnostic personnalisé en prenant en compte les aspects techniques et juridiques ne peut se faire qu’en accompagnement sur mesure.
C’est pourquoi, l’offre d’accompagnement proposée par le Pôle SCS s’attache à établir une liste précise des écarts constatés et des risques associés avec la définition du plan d’actions qui permet d’atteindre la conformité tout en abordant les implications d’organisation en conséquence.
Le Pôle SCS a choisi le cabinet KPMG pour cette mission. Il dispose d’experts de haut niveau maîtrisant à la fois les aspects techniques et la couverture juridique. En association avec le cabinet d’avocats Bignon Lebray, spécialisé sur ce sujet.
Plus d’informations sur ce programme ICI