Conformité RGPD : Êtes-vous concerné ?

Dernière mise à jour le 18 octobre 2024 · 4 min

Le RGPD concerne-t-il votre entreprise ? Si vous manipulez des données personnelles, la réponse est oui. Mais comment savoir si vous êtes vraiment en règle ? Dans cet article, nous vous guidons à travers les étapes clés pour garantir votre conformité et éviter de lourdes sanctions.

Le Règlement Général sur la Protection des Données (RGPD) est une réglementation européenne en vigueur depuis le 25 mai 2018. Ce texte impose aux entreprises de se conformer à des règles strictes pour garantir la protection des données personnelles. En cas de non-conformité, les entreprises contrôlées par la CNIL (Commission nationale de l'informatique et des libertés) s'exposent à des sanctions pouvant aller jusqu'à 4 % de leur chiffre d'affaires annuel global de l'exercice précédent, ou à des amendes administratives.

Le RGPD remplace la Directive 95/46/CE de 1995, qui régissait auparavant la protection des données en France. Désormais applicable à l'ensemble des États membres de l'Union européenne, le RGPD vise à harmoniser la législation en matière de protection des données à travers l'UE. L'objectif principal de cette réglementation est de responsabiliser les entreprises en leur imposant des obligations claires en matière de collecte, de gestion et de sécurisation des données personnelles des individus.

Presque aucune entreprise n'échappe à cette obligation. Si vous traitez des données personnelles, vous êtes concerné par la réglementation. Mais qu'entend-on exactement par "données personnelles" et "traitement de données" ?

• Données personnelles : Il s'agit de toute information permettant d'identifier une personne physique. Par exemple, un nom, un prénom, une adresse e-mail, une date de naissance, un numéro de client ou même une carte de visite.

• Traitement de données : Cela englobe toutes les opérations effectuées sur ces données, qu'il s'agisse de leur collecte, de leur enregistrement, de leur stockage, de leur transfert ou de leur revente.

En clair , quasiment toutes les organisations sont concernées par ces règles. Même conserver une simple carte de visite peut vous soumettre à la réglementation sur la protection des données.

Déléguer à la protection des données

Tout d'abord, il est nécessaire de désigner un Délégué à la Protection des Données (DPO). Cette personne pilotera le projet au sein de l'entreprise et devra être au fait des aspects juridiques et techniques de ce dernier. Ces compétences sont essentielles pour comprendre les enjeux et guider l'organisation dans son projet en définissant les chantiers prioritaires.

Cartographie

La seconde étape consiste à cartographier l'ensemble des données traitées par l'entreprise. Cette cartographie doit inclure les caractéristiques des différentes données, comme par exemple : le type de données, le type de traitement, son objectif et sa légitimité, le stockage et l'accès.

Plan d'action

L'étape suivante aura pour objectif de définir un plan d'action pour corriger les anomalies identifiées lors de la cartographie. Il s'agit de prioriser les actions à mener et de fixer des points d'étape pour le projet. Cela peut nécessiter différentes compétences, qui pourront être trouvées en interne ou en externe.

Gestion des risques

Pour poursuivre votre projet de mise en conformité, il sera nécessaire de mener une réflexion approfondie sur la protection des données. Lors des étapes précédentes, vous aurez identifié des anomalies liées à la sécurité des données. Il sera alors nécessaire d'évaluer ces risques à l'aide d'une étude d'impact pour chacun d'entre eux.

Procédures

Une fois le plan d'action défini et les premières anomalies corrigées, il conviendra ensuite de mettre en place de nouvelles procédures afin de garantir une protection maximale des données, et ce, pour chacun des traitements identifiés lors des étapes précédentes. Il faudra alors tenir compte de la “vie des données” afin d'anticiper tous les événements possibles et de fiabiliser l'organisation.

Documentation

Pour terminer, il vous faudra documenter l'ensemble de votre projet. Cela signifie préciser dans un document toutes ces informations en reprenant votre cartographie, votre plan d'action, les anomalies identifiées et les corrections apportées, ainsi que toutes les procédures mises en place au fur et à mesure du projet. 

Sachez que la conformité au RGPD n'est jamais acquise : elle évolue en permanence, au fur et à mesure que votre organisation et son écosystème avancent. Il sera donc nécessaire d'actualiser régulièrement votre projet.

En cas de non-conformité au RGPD, les organismes s'exposent à des sanctions lourdes. La CNIL, après un contrôle ou une plainte, peut infliger différentes pénalités en fonction de la gravité des manquements.

Dans la procédure ordinaire, les sanctions peuvent être très sévères. En effet, une entreprise risque une amende pouvant aller jusqu'à 20 millions d'euros ou 4 % de son chiffre d'affaires annuel, un montant significatif qui peut être rendu public. 

En plus des amendes, la CNIL peut également imposer des mesures telles qu'un rappel à l'ordre, la suspension temporaire ou définitive d'un traitement de données, voire la limitation ou l'interruption des flux de données. Elle peut aussi obliger l'entreprise à répondre aux demandes des personnes concernées, parfois sous astreinte.

Dans le cadre d'une procédure simplifiée, les sanctions sont moins lourdes et ne peuvent pas être rendues publiques. Les amendes sont limitées à 20 000 € et les astreintes à 100 € par jour de retard. Cependant, même dans ce cas, la mise en conformité reste obligatoire.