Le RGPD, comment devenir conforme ?

Le RGPD c’est le Règlement Général sur la Protection des Données. Plus exactement, c’est la protection et le traitement des données personnelles sur le territoire de l’Union européenne. Ce règlement s’inscrit dans la continuité de la Loi française de 1978 « informatique et liberté ». La loi concerne uniquement les données de personnes physiques, noms, adresses, téléphone, e-mail… Les données collectées doivent être protégées et servir uniquement à l’objectif prévu lors de sa collecte.

Sommaire

Qu'est ce qu'une donnée personnelle  ?

Une donnée personnelle est une information se rapportant à une personne identifiée, cela peut être :
Il existe de nombreuses autres données rentrant dans le champ d’action des données personnelles. Ces données collectées et classées par personne physique, forment une base de données personnelles.

Qui est concerné par le RGPD  ?

« Tout organisme quels que soient sa taille, son pays d’implantation et son activité, peut être concerné. En effet, le RGPD s’applique à toute organisation, publique et privée, qui traite des données personnelles pour son compte ou non, dès lors :
Le RGPD concerne toute organisation domiciliée dans l’Union européenne ou qui vend ses produits et services au sein de l’Union européenne. Il concerne également les sous-traitants qui collectent des données pour le compte d’un organisme extérieur.

Comment devenir conforme au RGPD  ?

La première étape consiste à créer un registre de fichiers, ce registre doit permettre d’identifier chaque activité nécessitant la collecte et le traitement de données personnelles. Ce peut être des données internes (fiche de paye, recrutement, badge, accès…) ou externes (clients, prospects, statistiques des ventes…). Il n’est pas nécessaire d’indexer au registre les traitements occasionnels comme une inauguration, une porte ouverte…). Celui-ci doit contenir le nom et les coordonnées de votre société (ainsi que, le cas échéant, votre délégué à la protection des données). Une fiche de registre doit être créée pour chaque activité de traitement.

Vous pouvez avoir à tenir deux registres :

  • Registre du responsable de traitement : il contient l’ensemble des traitements mis en place par votre organisation. Pour chaque activité la fiche de registre doit contenir :
    • nom et coordonnées du responsable des traitements ;
    • buts et objectifs de collecte des données ;
    • catégories de personnes (employé, clients, prospects…) ;
    • types de données personnelles (noms, données bancaires, téléphone, emails…) ;
    • à qui ces données pourraient être envoyées (sous-traitants, pays tiers, organisation internationale…) ;
    • la durée de conservation des données ou les raisons de l’absence de durée ;
    • description des mesures de sécurités mises en place pour protéger ces données.

  • Registre du sous-traitant : il contient l’ensemble des traitements réalisés pour le compte de vos clients. Pour chaque activité la fiche de registre doit contenir :
    • nom et coordonnées de chaque client pour lesquels les données sont traitées, ainsi que le nom et les coordonnées de leur représentant ;
    • nom des sous-traitants auxquels vous faites vous-même appel ;
    • types de prestations de traitements réalisées pour vos clients (e-mailing, publipostage, inscription à une newsletter…) ;
    • transferts de données vers un pays tiers ou à une organisation internationale ;
    • la durée de conservation des données ou les raisons de l’absence de durée ;
    • description des mesures de sécurités mises en place pour protéger ces données.

En bref, le registre est placé sous la responsabilité du dirigeant de l’entreprise, il doit être tenu à jour et être exhaustif.

À noter !
Il existe une dérogation pour les entreprises de moins de 250 salariés. Ces entreprises doivent inscrire au registre seulement le traitement des données suivantes :

  • traitements non occasionnels ;
  • traitements comportant un risque pour les droits et libertés (géolocalisation, vidéosurveillance…) ;
  • traitement comportant des données sensibles (santé, infractions…) ;
  • qu’elle est établie sur le territoire de l’Union européenne ;
  • que son activité cible directement des résidents européens », (BPI France, LeLab, CNIL, p.13, 2018).

Le RGPD concerne toute organisation domiciliée dans l’Union européenne ou qui vend ses produits et services au sein de l’Union européenne. Il concerne également les sous-traitants qui collectent des données pour le compte d’un organisme extérieur.

Aller plus loin !

La Commission Nationale de l’Informatique et des Libertés (CNIL) est chargée de veiller à ce que l’informatique soit au service des citoyens et qu’elle ne porte atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques. C’est sur son site internet cnil.fr que vous trouverez toutes les informations dont vous aurez besoin pour mettre en place les actions nécessaires au sein de votre entreprise pour être conforme au RGPD. La BPI France a également construit un guide (en partenariat avec la CNIL) des bonnes pratiques pour les TPE et PME, à lire juste ici : Le guide des bonnes pratiques

Sommaire

À télécharger

Articles Conseil

Le saviez-vous ?

Il existe une dérogation pour les entreprises de moins de 250 salariés.

Ces entreprises doivent inscrire au registre seulement le traitement des données suivantes :

  • Traitements non occasionnels
  • Traitements comportant un risque pour les droits et libertés (géolocalisation, vidéosurveillance…)
  • Traitement comportant des données sensibles (santé, infractions…)
  • qu’elle est établie sur le territoire de l’Union européenne ;
  • que son activité cible directement des résidents européens », (BPI France, LeLab, CNIL, p.13, 2018).

Liens utiles

contact gemmeco sur smartphone

L'agence GemmeCo vous accompagne !

Notre équipe vous accompagne dans votre transformation numérique et vous conseille sur les règles du RGPD à respecter. Nous nous appliquons à créer des outils et supports numériques (sites internet ; formulaires de contacts ; newsletters ; …) respectant les règles à suivre. Nous vous guidons dans la mise en place de vos registres et travaillons ensemble à la sécurisation de l’ensemble de vos données. Si vous avez remarqué un manquement à ces engagements chez vous, et que vous souhaitez vous mettre à jour, n’hésitez pas à nous en faire part !