Destiné aux jeunes entreprises, ce guide a vocation à présenter synthétiquement les différentes étapes nécessaires à la préparation d’une mise en conformité RGPD.
Pour des informations plus techniques en la matière, nous vous recommandons l’ensemble des publications du cabinet
Retrouvez l’ensemble des publications et conseil du cabinet PCS Avocat.
Conformité RGPD : une obligation pour toutes les entreprises
La protection des données personnelles est principalement encadrée par la loi Informatique et Libertés du 6 janvier 1978 et le récent Règlement Général sur la Protection des données du 27 avril 2016.
En pratique, depuis le 25 mai 2018, toutes les entreprises sont tenues d’ètre en conformité avec les principes et règles établies par ces textes sauf à encourir des sanctions financières conséquentes : jusqu’à 20 millions d’euros voire 4% du chiffre d’affaires mondial.
Plusieurs exemples de sanctions de la CNIL
La mise en conformité d’une entreprise au RGPD nécessite d’appréhender plusieurs problématiques liées notamment à ses traitements de données personnelles, son encadrement contractuel, sa sécurité informatique et la formation de ses effectifs.
L’audit RGPD constitue la première et plus importante étape pour les entreprises qui ne sont pas encore en conformité.
Quelles sont les données personnelles?
Une donnée personnelle concerne légalement toute donnée qui permet d’identifier une personne physique, directement, ou indirectement.
- Sont usuellement mentionnés les nom, prénom, photographie, date de naissance, vidéo, voix, empreintes digitales, etc.
- Sont également impliquées les éléments permettant par l’intermédiaire d’un tiers de retrouver l’identité d’une personne : c’est le cas notamment des numéros de téléphone, plaque minéralogique, numéro de sécurité sociale, adresse IP, etc.
- Elles peuvent également se déduire d’un cumul d’informations diverses : l‘âge, un historique médical, des notifications de déplacements peuvent ensemble permettre d’identifier une personne.
Enfin, ces données peuvent concerner au sein d’une entreprise aussi bien les clients, salariés, stagiaires, fournisseurs et prestataires externes.
La méconnaissance des règles applicables peut avoir des conséquences importantes pour les sociétés : retrouvez notre présentation des erreurs courantes en matière de RGPD.
Audit RGPD : Périmètre de recherche et d’analyse
Le RGPD impose une responsabilisation des entreprises tenues de pouvoir justifier en cas de contrôle ou demande par des partenaires leur conformité en matière de protection des données. A ce titre, il n’est plus nécessaire de procéder à une déclaration CNIL.
L’audit RGPD s’inscrit dans l’analyse de l’ensemble des éléments nécessaires pour toute entreprise établie ou proposant ses produits et services au sein de l’Union Européenne. Les sociétés doivent notamment justifier de :
- L’existence d’un registre de traitements de données à jour ; ce document regroupe l’ensemble des informations personnelles collectées sur toutes les activités de la société : ressources humaines, site internet, newsletter, gestion client, comptabilité, etc.
- La préparation d’analyses d’impact tout au long du développement de la société notamment en cas de nouvelle mise en place de traitement ;
- La maitrise des différents prestataires et sous-traitants de la société et leur propre conformité au RGPD dans vos relations.
Ces audits RGPD peuvent ètre réalisés par un membre de la société, compétent en la matière, ou par un prestataire externe, généralement des cabinets d’audit ou des avocats spécialisés.
Audit RGPD en pratique : durée et coût
L’audit RGPD est destiné à proposer une présentation globale et complète de l’ensemble des processus internes d’une entreprise en matière de données personnelles.
Cartographie des « flux de données » collectés et traités par la société, il impose une identification des différents acteurs et services pertinents afin de constituer le premier document obligatoire : le registre des traitements.
Les jeunes entreprises et startups du numérique disposent généralement de nombreux process de traitements informatiques de données qu’il impose au plus tôt d’audit. La durée et le coût des audits varie nécessairement selon la complexité et développement de la société pouvant aller de quelques heures à plusieurs jours, soit 1 000 à 10 000 euros
Procédures de conformité RGPD
Afin d’anticiper tout contrôle ou demande d’une société partenaire, il est important que chaque entreprise respecte un certain nombre de pratiques :
- Désignation d’un délégué à la protection des données (DPO) ;
- Mettre à jour les documents contractuels avec les clients et partenaires ;
- Sécuriser les systèmes informatiques des traitements ;
- Définir les procédures d’accès et d’exercice des droits des personnes ;
- Sensibiliser et former les salariés et effectifs de la société
- Mettre à jour les supports de communications : site internet, cookies, newsletter, etc.
Retrouvez l’ensemble des procédures de mise en place du RGPD