Blog de GetApp sur les applications métiers

RGPD : comment se mettre en règle et éviter de payer l’amende

Publié le 11/06/2018 par Sonia Mokrani

RGPD comment éviter de payer l'amende

Haut les mains, petite entreprise. Vous êtes cernée, impossible de vous échapper. Retournez-vous calmement, les mains sur la tête. Vous voyez votre portrait placardé au mur ? Vous dérogez au règlement général sur la protection des données. Au nom de la loi, je vous ordonne dinterrompre toutes vos activités.

Depuis le 25 mai 2018, les entreprises possédant des données relatives à un citoyen européen qui manquent aux termes du RGPD sont passibles damendes pouvant sélever à 20 millions deuros ou à 4 % de leur chiffre daffaires. Vous voulez vraiment prendre le risque ?

Les PME ont investi beaucoup de temps et dargent pour assurer leur conformité au nouveau règlement. Si vous avez pris du retard, il faudra le rattraper.

Mais vous n’êtes pas les seuls ! Au niveau mondial, une entreprise sur deux ne s’est pas encore pliée aux exigences du RGPD.

Avant le 25 mai, 67 % des entreprises en Europe avouaient ne pas être prêtes. Selon Gartner, plus de la moitié des entreprises concernées par le RGPD ne seront toujours pas en règle fin 2018. Alors aujourd’hui, quelques jours après lentrée en vigueur du règlement, on peut parier que les sociétés non conformes sont nettement plus nombreuses.

Un conseil : mettez-vous en conformité dès que possible pour éviter de payer des amendes susceptibles de vous forcer à mettre la clé sous la porte.

Mais par où commencer ? Première étape : vous informer. Dans cet article, je répondrai aux questions les plus courantes sur le RGPD et je vous proposerai trois mesures à prendre immédiatement pour rejoindre les rangs.

Le début d’une nouvelle ère

Nous y voilà : après deux ans dattente (la réglementation a été adoptée par lUE en 2016) et un battage médiatique sans précédent, le règlement général sur la protection des données ou RGPD est entré en vigueur ce 25 mai 2018. Il met fin pour de bon au vide juridique sauvage qui entourait la protection des données personnelles des citoyens européens. Et il a su se faire attendre. Considéré comme une des avancées législatives majeures de ces 20 dernières années, ce nouveau règlement est en fait une mise à jour de la directive européenne sur la protection des données de 1995 appliquée dans tous les états de lUnion.

Le RGPD réglemente lutilisation des données personnelles des citoyens européens par les entreprises actives sur son territoire, quelles soient physiquement installées en Europe ou hors de ses frontières.

Etienne Drouard, expert en protection des données ayant travaillé sur le texte du RGPD, signale dans son article à ce sujet : “Le principe d’accountability (l’obligation de démontrer sa conformité) [est entré] en vigueur le 25 mai et, avec lui, l’exigence de démontrer l’obtention d’un consentement valide, mais uniquement lorsqu’un consentement est exigé.”

Partout dans le monde, la chasse aux entreprises qui possèdent des données à caractère personnel concernant des citoyens européens est donc ouverte. Si vous détenez des informations personnelles sur vos clients, vos partenaires, vos employés, vous devez vous conformer au RGPD, sous peine damendes.

Vous pouvez consulter ici les textes légaux relatifs au RGPD.

Les cibles privilégiées du RGPD

Si votre entreprise est concernée par la nouvelle réglementation, mais qu’elle ne l’observe pas encore, elle est passible d’amendes fixées selon la gravité et la récurrence des manquements. Elles plafonnent à 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial (le montant le plus élevé étant retenu) en cas de manquement formel, et à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial (le montant le plus élevé étant retenu) en cas de violation des principes de base du RGPD.

Des autorités de contrôle seront chargées de l’exécution des sanctions administratives dans chaque État membre, mais on ne connaît pas encore précisément ces organismes de réglementation ni leur rôle. Les intentions, la nature des infractions, les solutions mises en place par les entreprises et la bonne volonté des autorités pèseront dans la balance en cas d’infraction.

Enfin, il est important de souligner que les amendes seront infligées pour tout manquement, ce qui inclut notamment la divulgation involontaire de données due à la négligence du personnel ou encore une cyberattaque. C’est le coup de grâce : les amendes s’ajouteront donc aux retombées financières et légales en cas de faille de sécurité.

On attend encore de voir ce qu’il en sera réellement (aucune entreprise n’a été traînée devant les tribunaux et condamnée jusqu’à présent), mais le RGPD est très clair : les autorités n’hésiteront pas à infliger des amendes administratives. Vous savez donc ce qui vous attend si vous n’observez pas au plus vite les règles du RGPD.

Cependant, selon Etienne Drouard, il ne faut pas non plus céder à la panique. “Le RGPD/GDPR n’a pas et ne peut pas avoir d’effet rétroactif”, dit-il. “Une sanction éventuelle après le 25 mai pour des faits antérieurs au 25 mai, ne pourra pas porter sur des obligations nouvelles apparues après le 25 mai.” Il vous incombe tout de même de vous mettre en conformité au plus vite.

3 mesures à prendre si vous n’êtes pas encore en conformité avec le RGPD

Posez-vous les bonnes questions

Si vous n’êtes pas encore en conformité avec le RGPD, faites d’abord le point pour redresser la barre. Voici quelques questions qui pourraient guider votre démarche.

Votre entreprise est-elle considérée comme responsable du traitement ?  Selon le directeur de recherches de Gartner Bart Willemsen, toute structure qui “détermine comment et pourquoi des données personnelles sont traitées est considérée comme responsable du traitement.

Votre entreprise traite-t-elle généralement des données à caractère personnel pour des raisons différentes de celles qui ont justifié leur enregistrement ?  Si oui, vous devez vous assurer que vos utilisateurs vous permettent de les exploiter de cette manière.

Les données personnelles des mineurs sont-elles traitées de manière spécifique ?  Le RGPD impose d’obtenir l’accord explicite des parents ou des tuteurs pour exploiter les informations personnelles relatives à des mineurs (moins de 16 ans).

Trouvez le DPD qui fera votre bonheur

Si votre entreprise n’est pas encore en règle avec le RGPD, pensez à engager un data protection officer ou délégué à la protection des données (DPD). Il se chargera d’assurer le respect de la confidentialité des informations que vous récoltez et de vous aider à honorer vos obligations en la matière, notamment dans le cadre du RGPD.

Il peut aider votre entreprise à déterminer les causes de sa non-conformité au RGPD et à y remédier.

Connaissez les droits des personnes concernées sur le bout des doigts

Les individus dont les données sont traitées par votre entreprise ont désormais plus de droits grâce au RGPD. Il en existe trois principaux :

  • Le droit à l’oubli : tout individu a le droit d’exiger la suppression de ses informations personnelles, de ses contenus et de toutes les données le concernant détenues par une entreprise, quelle qu’elle soit.
  • Le droit à la portabilité : tout individu a le droit d’exiger le transfert de ses données personnelles vers d’autres services, appareils et environnements informatiques sans que leur utilisation potentielle ne soit limitée.
  • Le droit à l’information : tout individu a le droit d’être informé à l’avance (ou le plus tôt possible) de l’état de ses données et de la manière dont ses informations personnelles sont récoltées, utilisées et traitées (faille de sécurité, durée de conservation, recours à des technologies de traitement comme l’automatisation, etc.).

Si l’un de vos clients, partenaires ou employés souhaitait exercer un de ses droits à cet instant, pourriez-vous agir rapidement et adéquatement ? Pourriez-vous suivre une procédure définie ou passer par les étapes clés qui vous permettraient de répondre à chaque demande ?

Si votre entreprise n’est pas encore conforme au RGPD, vous devez tenir compte des nouveaux droits des personnes concernées soit en adaptant des procédures et mécanismes existants, soit en en créant d’autres.

Bart Willemsen conseille d’ailleurs aux entreprises de prendre des mesures dès que possible. Si une entreprise n’est pas encore prête à gérer une violation des données qu’elle possède ou à répondre aux demandes des utilisateurs souhaitant exercer leurs droits, elle devrait remédier à cela au plus vite“, dit-il.

mesures rgpd

Mettez votre société en conformité pour ne pas la mettre en danger

  • Ne vous tirez pas une balle dans le pied : ne bloquez pas vos utilisateurs européens pour vous soustraire aux obligations du RGPD. Pour se simplifier la vie et faire des économies, certaines multinationales ont bloqué toutes les adresses IP de citoyens européens afin que ceux-ci ne puissent plus accéder à leurs services. C’est peut-être une bonne solution à court terme, mais ces entreprises, qui ne sont pas soumises au RGPD sur leur territoire, devront bientôt se conformer à d’autres réglementations en matière de protection de la vie privée. Mieux vaut donc s’y préparer.
  • Cessez de rédiger des conditions d’utilisation, des politiques de confidentialité et des formulaires de consentement incompréhensibles. Créez des documents lisibles et intelligibles, et profitez-en pour renforcer vos relations avec vos clients, vos partenaires et vos employés, et regagner leur confiance. Cette boîte à outils devrait vous aider à améliorer votre politique de confidentialité (en anglais, réservée aux clients de Gartner).
  • Profitez de l’entrée en vigueur du RGPD pour faire de votre entreprise une championne du respect de la vie privée. Le RGPD ne se limite pas aux services informatiques et aux responsables de la confidentialité des données. Du marketing aux ressources humaines, le nouveau règlement et la protection des données concernent l’ensemble de votre entreprise et ont un impact sur tous vos employés. Organisez des formations pour encourager chacun à défendre le respect de la vie privée.
  • Consultez votre avocat. Si votre entreprise n’est pas encore en conformité avec le RGPD, vous avez peut-être déjà l’impression que les régulateurs sont à vos trousses. Ne paniquez pas et consultez dès que possible votre conseiller juridique.

Quelques ressources pour faire les yeux doux au RGPD

Toujours pas conforme au RGPD ? Un logiciel de sécurité informatique ou un logiciel de gestion des données pourrait vous aider à vous mettre en conformité.

Quoi qu’il en soit, ne paniquez pas : vous êtes encore dans les temps !

 


Attention : cet article est destiné à éclairer ses lecteurs sur les difficultés actuellement rencontrées par les entreprises en matière de respect de la vie privée et de protection des données. Il ne constitue ni un avis juridique ni une série d’instructions à suivre. Consultez votre conseiller juridique pour déterminer ce qui s’applique à votre entreprise.

(article traduit et adapté de l’anglais)


Certains liens dans cet article de blog peuvent être des liens affiliés ou PPC ("Pay Per Click"), c'est-à-dire que nous pouvons obtenir une modeste commission si vous cliquez dessus et finissez par acheter un produit.