LE RGPD Règlement Européen sur la Protection des Données Personnelles

Dans le cadre de votre activité professionnelle, vous êtes amenés à collecter des données personnelles, comme par exemple : les coordonnées postales de vos clients, leurs numéros de téléphone, les coordonnées de vos salariés …

Dans le cadre de votre activité professionnelle, vous êtes amenés à collecter des données personnelles, comme par exemple : les coordonnées postales de vos clients, leurs numéros de téléphone, les coordonnées de vos salariés …

QU’EST-CE QU’UNE DONNEE PERSONNELLE ?

Il s’agit de toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée») ; est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale;

QU’EST-CE QUE LE RGPD ?

Les entreprises ont déjà l’obligation de respecter un certain nombre d’obligations concernant la protection des données personnelles, dans le cadre de la Loi Informatique et Libertés du 6 janvier 1978.

Le Règlement Général pour la Protection des Données (RGPD) est une nouvelle règlementation européenne qui vise à réformer et renforcer la protection des données personnelles. Il s’agit d’un règlement adopté par le Parlement européen qui sera applicable à partir du 25 mai 2018 dans tous les pays de l’Union Européenne. A cette date, toutes les entreprises devront être en conformité avec le RGPD sous peine de sanctions.

VOTRE ENTREPRISE EST-ELLE CONCERNEE PAR LE RGPD ?

Oui, tous les professionnels sont concernés, quel que soit leur domaine d’activité et quel que soit la taille de leur entreprise dès lors que celle-ci est située dans un pays de l’Union Européenne (UE). Sont aussi concernées les entreprises situées hors de l’UE mais disposant de clients au sein de l’UE.

Prochainement, la CNIL proposera une information adaptée aux petites et moyennes entreprises, que nous ne manquerons pas de vous communiquer.

QUELS SONT LES OBJECTIFS DU RGPD ?

Ce règlement vise à créer un cadre harmonisé au niveau européen de la protection des données en renforçant les droits des personnes. Ainsi, cette règlementation instaure notamment une consolidation des obligations d’information, des restrictions en termes de recueil de consentement, un nouveau droit à la portabilité des données et à l’effacement, la création de dispositions propres aux personnes mineures,…

EN PRATIQUE

Cette nouvelle réglementation implique que chaque entreprise revoit sa politique de protection des données en veillant à ce que les données collectées soient désormais bien conforme à la réglementation.

Les fichiers de données à caractère personnel déjà existants au 25 mai 2018 devront, d’ici là, être mis en conformité avec les dispositions du règlement. Cela signifie qu’il va falloir vérifier chaque traitement de données que vous opérez au sein de votre entreprise : collecte des données de vos salariés, de vos clients, de vos fournisseurs, de vos partenaires commerciaux, …

D’importantes sanctions peuvent être prononcées par la CNIL en cas de non-respect des dispositions du règlement (mise en demeure de l’entreprise, suspension des flux de données, ordre de rectifier, limiter ou effacer les données, amende…).

La CNIL peut notamment :

  • Prononcer un avertissement ;
  • Mettre en demeure l’entreprise ;
  • Limiter temporairement ou définitivement un traitement ;
  • Suspendre les flux de données ;
  • Ordonner de satisfaire aux demandes d’exercice des droits des personnes ;
  • Ordonner la rectification, la limitation ou l’effacement des données.

S’agissant des amendes administratives, elles peuvent s’élever, selon la catégorie de l’infraction, de 10 ou 20 millions d’euros, ou, dans le cas d’une entreprise, de 2% jusqu’à 4% du  chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu. Ces sanctions sont applicables quelle que soit la taille de l’entreprise.

Des informations complémentaires sont disponibles sur le site Internet CNIL.fr, onglet « Règlement européen ».

COMMENT SE METTRE EN CONFORMITE AVEC LE RGPD POUR LE 25 MAI 2018 ?

Source Site Internet CNIL : les étapes ci-dessous reprennent le mode d’emploi de la CNIL que vous retrouverez en version détaillée en PDF ci-joint.

La CNIL a mis en ligne un mode d’emploi pour permettre aux entreprises de se mettre en conformité. Retrouvez ci-dessous les 6 étapes élaborées par la CNIL pour vous mettre en conformité.

Etape 1 : Désigner un pilote, le Délégué à la Protection des Données

Pour piloter la gouvernance des données personnelles de votre structure, vous aurez besoin d’un véritable chef d’orchestre qui exercera une mission d’information, de conseil et de contrôle en interne : le délégué à la protection des données.

Son rôle : Informer, conseiller, sensibiliser l’entreprise et contrôler en interne que l’entreprise respecte ses obligations en matière de protection des données personnelles. C’est également le DPO qui communique avec la CNIL et répond à ses demandes en cas de contrôle de l’entreprise.

  • Cette étape n’est pas une obligation lorsque l’entreprise n’a pas une activité de base l’amenant à réaliser un suivi régulier et systématique des personnes à grande échelle ou à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions.
  • Les professionnels de l’automobile, TPE ou PME ne sont à priori pas concernés par cette obligation. Il peut cependant être utile qu’au sein de votre entreprise une personne soit désignée pour piloter la mise en place et le suivi de l’ensemble de ces obligations.

Etape 2 : recenser de façon précise les traitements de données personnelles que vous mettez en œuvre au sein de votre entreprise (= cartographier)

Les entreprises ont désormais l’obligation de tenir une documentation interne complète sur leurs traitements de données personnelles et doivent s’assurer que ces traitements respectent bien les nouvelles obligations légales.

Les traitements correspondent à tout processus de collecte, de stockage, d’utilisation, de partage ou encore de destruction des données au sein de votre entreprise.

Pour créer cette documentation interne, vous devez recenser concrètement:

  • Les différents traitements de données personnelles

Ex : données personnelles relatives aux salariés pour les fiches de salaire

Ex : données personnelles des clients pour la vente de véhicules

Ex : données personnelles des clients pour l’entretien de leur véhicule

Ex : données personnelles des clients d’une école de conduite

  • Les catégories de données personnelles traitées: pour chacun des traitements de données personnelles de l’entreprise (ci-dessus), vous devez détailler les catégories de données récoltées.

Ex : nom du client, adresse complète, adresse mail, téléphone, …

 

Attention : si vous récoltez des données sensibles (données relatives à la santé ou aux infractions) vous devez également l’indiquer. Cependant, les professionnels de l’automobile n’ont a priori pas besoin de collecter ce type de données et nous vous le déconseillons, sauf à pouvoir en justifier des motifs, en cas de contrôle de la CNIL.

 

  • La finalité de cette collecte (pourquoi vous collectez ces données) : chaque traitement de données doit avoir une finalité précise.

Ex : pour les données personnelles relatives aux salariés > finalité > gestion des ressources humaines

Ex : pour les données personnelles relatives aux clients > finalité > gestion commerciale

 

  • Le lieu où ces données sont hébergées: les données sont-elles hébergées au sein de l’entreprise ? sont-elles transmises à un sous-traitant gestionnaire de ces données ? sont-elles transférées à un pays tiers ? Indiquez précisément ces informations.
  • Pour chaque catégorie de données, combien de temps vous les conservez.
  • Les mesures de sécurité mises en œuvre par votre entreprise pour minimiser les risques d’accès non autorisés aux données et donc d’impact sur la vie privée des personnes concernées.

La CNIL propose un modèle de registre sous format Excel[1]. Ce modèle vous permettra de recenser dans un document l’ensemble des informations décrites ci-dessus. Retrouvez ce registre en annexe.

 

Attention : les informations à tenir dans ce registre sont propres à chaque entreprise. Vous devez par conséquent au préalable réfléchir en interne sur l’ensemble des traitements de données personnelles que vous avez mis en œuvre.

 

Etapes 3 : identifier les actions à mener pour vous conformer aux obligations actuelles et à venir

 

Le registre que vous avez créé vous a permis d’avoir une vision d’ensemble sur la collecte des données personnelles réalisée par votre entreprise. Vous devez maintenant rectifier certaines collectes pour les rendre conformes au RGPD.

  • Vous ne devez collecter que les seules les données strictement nécessaires à la poursuite de vos objectifs.

Ex : pour une vente de véhicule, vous ne devez collecter que les informations strictement nécessaires à la finalisation de la vente : collecter des données concernant l’état de santé du client est inutile.

  • Actualisez vos mentions d’information afin qu’elles soient conformes aux exigences du règlement.
  • Prévoyez vos process internes pour permettre les modalités d’exercice des  droits des personnes concernées (droit d’accès, de rectification, droit à la portabilité, retrait du consentement…) : qui réceptionne ces demandes en interne, comment mettez-vous en œuvre la demande, comment informez-vous la personne à l’origine de la demande, etc. …
  • Vérifiez les mesures de sécurité mises en place en interne en cas d’atteinte aux données personnelles (ex : attaque informatique, vol de données personnelles, …)

Etapes 4 : Gérer les risques

Lorsqu’un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement effectue, avant le traitement, une analyse de l’impact des opérations de traitement envisagées sur la protection des données à caractère personnel.

Cette étape n’est nécessaire que si votre entreprise collecte des données présentant un risque élevé pour les droits et libertés des personnes concernées.

Il existe 9 critères permettant de définir un risque élevé pour les droits et libertés des personnes concernées:

  1. Evaluation ou notation;
  2. Décision automatisée avec effet juridique ou effet similaire significatif;
  3. Surveillance systématique ;
  4. Données sensibles ou données à caractère hautement personnel ;
  5. Données personnelles traitées à grande échelle ;
  6. Croisement d’ensembles de données ;
  7. Données concernant des personnes vulnérables ;
  8. Usage innovant ou application de nouvelles solutions technologiques ou organisationnelles ;
  9. Exclusion du bénéfice d’un droit, d’un service ou contrat.

A priori, ce n’est pas le cas des professionnels de l’automobile. Nous vous invitons cependant à vérifier en interne si vous êtes concerné. Si tel est le cas, vous devrez mener en interne une analyse d’impact sur la protection des données (PIA).

Etapes 5 : mettre en place des procédures internes qui garantissent la protection des données à tout moment

Quels sont les procédures internes à mettre en place pour se conformer au règlement ? Vous allez devoir :

  • prendre en compte de la protection des données personnelles dès la conception d’une application ou d’un traitement de données :

> Minimiser la collecte de données au regard de la finalité,

> Cookies,

> Durée de conservation,

> Mentions d’information,

> Recueil du consentement

> Sécurité et confidentialité des données

> S’assurer du rôle et de la responsabilité des services de l’entreprise et/ou des sous-traitants impliqués dans la mise en œuvre de traitements de données

–  sensibiliser les collaborateurs en interne

– traiter les réclamations et les demandes de vos clients quant à l’exercice de leurs droits (droits d’accès, de rectification, d’opposition, droit à la portabilité, retrait du consentement) en définissant les acteurs en interne et les modalités (l’exercice des droits doit pouvoir se faire par voie électronique, si les données ont été collectées par ce moyen).

anticiper les violations de données en prévoyant, dans certains cas, la notification à la CNIL dans les 72 heures et aux personnes concernées (par exemple vos clients et/ ou vos salariés) dans les meilleurs délais.

Etapes 6 : Documenter la conformité de votre entreprise au RGPD

Vous devez conserver au sein de votre entreprise l’ensemble de la documentation prouvant que vous vous êtes mis en conformité avec le RGPD.

Nous vous conseillons de constituer un dossier numérique ou papier comprenant :

  • Votre registre des traitements (fichier Excel détaillé à l’Etape 2)
  • Les mentions d’information à destination de vos clients (Etape 3)
  • ​Les modèles de recueil du consentement des personnes concernées (Etape 3)
  • Les procédures mises en place en interne pour l’exercice des droits de vos clients (Etape 3)
  • Les contrats avec les sous-traitants
  • Les procédures internes en cas de violations de données (Etape 3)
  • Les preuves que les personnes concernées ont donné leur consentement lorsque le traitement de leurs données repose sur cette base.

Ce dossier doit être régulièrement mis à jour : soit l’occasion d’une modification dans le traitement de vos données, soit en cas d’ajout d’un nouveau traitement, soit au minimum une fois par an pour vérification.

Ce dossier sera mis à disposition de l’autorité de contrôle (CNIL) en cas de vérification au sein de votre entreprise.

 

Attention : Alerte Arnaque

 

La CNIL a alerté les professionnels que de nombreux artisans, PME et commerçants reçoivent actuellement des sollicitations par téléphone pour une « mise en conformité » de leur entreprise au RGPD.

Des sociétés peu scrupuleuses cherchent à vendre une prestation « clé en main » qui garantirait à l’entreprise ciblée sa conformité au RGPD.

 

Leur technique : insister sur les sanctions financières encourues ET se présenter comme «labellisé», «mandaté» ou «recommandé» par la CNIL.

 

Ces messages peuvent avoir pour but de faire appeler un numéro surtaxé, de faire signer un engagement frauduleux ou de collecter des informations sur l’organisation de l’entreprise pour préparer une escroquerie ou une attaque informatique

 

La CNIL conseille de ne surtout pas répondre à ces messages. Elle précise qu’elle n’est pas à l’origine de telles démarches auprès des entreprises.

En cas de doute, vous pouvez contacter la CNIL au 01 53 73 22 22.

 

Annexes à la présente note :

 

  • Guide CNIL « Règlement européen : se préparer en 6 étapes », véritable mode d’emploi du RGPD
  • Guide CNIL « Sécurité des données personnelles » comportant les précautions élémentaires à mettre en œuvre pour se conformer au règlement européen
  • Tableau Excel permettant de créer votre Registre des traitements de données personnelles (proposé par la CNIL)

[1] Cela est lié au principe d’accountability qui fait que l’entreprise doit garantir, à tout moment, que les process en place sont conformes, sécurisés et garantissent la confidentialité des données. Il répond ainsi à un double enjeu de traçabilité et de transparence, essentiels à la confiance.

 

Autres documents dans la même catégorie :

Les aides de l’URSSAF pour les entreprises et les indépendants touchés par les intempéries

Alerte mails frauduleux : utilisation abusive de DEKRA et de la DGFiP

L’indemnité d’éviction

Les réseaux sociaux et la E-réputation de l’entreprise

Alerte sur les arnaques à la DGCCRF

Gestion financière de l’entreprise, des outils pédagogiques pour les jeunes apprentis et entrepreneurs

Cession du bail commercial en cas de départ à la retraite du locataire

Le droit de préférence du locataire commercial

Accompagnement gratuit « MonAideCyber »

Fraude aux KBIS : soyez vigilants

Véhicule en Déclaration d’Achat (DA) et assurance

Guide CNIL – Sécurité des données personnelles

Suppression de la carte verte d’assurance à compter du 1er avril 2024

Etat de catastrophe naturelle et assurance

Loi de finances pour 2024 : principales mesures pour les entreprises

La taxe annuelle sur les véhicules de tourisme 2024 (ex-TVS)

Arnaques concernant vos véhicules et ceux de vos clients : Soyez vigilants

Comment se termine un bail commercial

Emeutes de juillet 2023 : nouvelles mesures de soutien annoncées par le gouvernement au 17 juillet

Un nouveau Code de l’Artisanat pour les artisans

Accompagnement fiscal des PME

Taxe sur les surfaces commerciales – TaSCom

Loi d’adaptation au droit européen (loi DADUE) : dispositions intéressant les entreprises

Charge administrative des entreprises : répondez au sondage !

Vous vous demandez si votre entreprise est à jour de ses principales obligations? La FNA vous donne une check liste pour vous aider!

Taxe Foncière : Mécanisme de la revalorisation de la valeur locative des locaux professionnels

Loi de finances pour 2023 : principales mesures pour les entreprises

URGENT : Enquête hausse des prix de l’énergie

Recueil des besoins des TPE-PME sur des programmes de formation gratuits

Délestage électrique pour les entreprises : comment l’anticiper ?

La FNA propose à ses adhérents une protection juridique adaptée

Disparition des tickets de caisse : application reportée au 1er août 2023

Dépenses d’énergie : les questions à se poser sur son contrat

A qui incombent les dépenses de travaux ?

Hausse des prix de l’énergie : synthèse des aides disponibles

Limitation de la hausse des loyers commerciaux

La taxe annuelle sur les véhicules de tourisme 2023 (ex-TVS)

Règles de plafonnement et de déplafonnement du loyer

Arnaques et pratiques frauduleuses : Guide de prévention

Signalement des anomalies dans la formation des prix – DGCCRF

Guichet d’aide publique aux entreprises touchées par la hausse du prix du gaz et/ou de l’électricité

Dispositif d’accompagnement individualisé pour les indépendants

Aides au financement de la transition écologique des entreprises

Difficultés de paiement URSSAF liées à la crise Ukrainienne

Impact de la guerre en Ukraine sur les contrats publics

Causes de révision du loyer d’un bail commercial

Négocier son bail commercial

Renouvellement du bail commercial

Déclaration Européenne de Services (DES)

Enquête sur les impacts économiques de la guerre en Ukraine

Loi en faveur de l’activité professionnelle indépendante

Crise ukrainienne : impact sur les activités économiques et points de contacts

Que faire en cas de cyberattaque ?

Crédit d’impôt pour la formation des chefs d’entreprise

Simplification des démarches des entreprises

La taxe annuelle à l’essieu pour les véhicules de plus de 12 tonnes

Tutoriel pour partager des articles sur les reseaux sociaux facebook / twitter / linkedin

Tutoriel pour s’inscrire les reseaux sociaux facebook / twitter / linkedin

Restriction de l’eclairage nocturne des commerces

Conditions d’utilisation du w garage et démarches pour l’obtenir

Contravention pour non designation du conducteur : seules les personnes morales sont concernees

Equipement obligatoire d’un ethylotest

Fichier des Véhicules Assurés (FVA) : Quels véhicules doivent-être déclarés par les professionnels de l’automobile ?

Infractions au Code de la route : Le chef d’entreprise doit désigner le conducteur auteur de l’infraction commise avec un véhicule de l’entreprise

Le véhicule de démonstration

Contribution sociale de solidarite

Cotisation fonciere des entreprises

Cotisation sur la valeur ajoutee des entreprises

Droit a l’erreur Loi pour un Etat au Service d’une Société de Confiance

Loi de finances pour 2019

Prestations de services hors de France : quelle TVA appliquer ?

Taxe sur les véhicules de société (TVS 2021)

Protection des données personnelles (RGPD) : le registre des traitements des données

Alerte vigilance arnaque RGPD

Obligation de déclarer les bénéficiaires effectifs des sociétés

Obligation d’utiliser un logiciel de caisse conforme

Durée de conservation des documents d’entreprise

Confidentialité des comptes des micro-entreprises et des petites entreprises

Alerte sur les e-mail frauduleux

Les aides pour l’entreprise

Le nantissement du fonds de commerce

La caution personnelle du chef d’entreprise

Tableau comparatif des entreprises individuelles

Mise en garde contre les registres, annuaires et sites de référencement professionnels

Accessibilité, Démarchage ABUSIF

COVID 19 : Plan de règlement des dettes fiscales

Chômage partiel du dirigeant de société

Assurance chômage du dirigeant de société

Les différents statuts du conjoint du chef d’entreprise

Obligation de déclarer le statut du conjoint

Le statut du chef d’entreprise

Retraite des travailleurs non-salariés

Régime fiscal des travailleurs non-salariés

Protection sociale des travailleurs non-salariés

Cumul emploi-retraite des travailleurs non-salariés

Assurance chômage du chef d’entreprise

Tableau comparatif des différentes formes de sociétés

EIRL-Entrepreneur individuel à responsabilité limitée

retour à l’accueil de la base documentaire