Comment respecter le RGPD quand on est une TPE/PME ?

Mis à jour : sept. 14



Qu'est-ce que le RGPD ?


L’acronyme RGPD signifie « Règlement Général sur la Protection des Données » (en anglais « General Data Protection Regulation » ou GDPR). Le RGPD encadre le traitement des données personnelles sur le territoire de l’Union européenne.

Ce nouveau règlement européen s’inscrit dans la continuité de la Loi française Informatique et Libertés de 1978 et renforce le contrôle par les citoyens de l’utilisation qui peut être faite des données les concernant.



Qu'est-ce qu'une donnée personnelle ?

La notion de « données personnelles » est à comprendre de façon très large. Une « donnée personnelle » est « toute information se rapportant à une personne physique identifiée ou identifiable » :

  • directement (exemple : nom, prénom)

  • ou indirectement (exemple : par un identifiant (n° client), un numéro (de téléphone), une donnée biométrique, plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale, mais aussi la voix ou l’image).

L’identification d’une personne physique peut être réalisée :

  • à partir d’une seule donnée (exemple : numéro de sécurité sociale, ADN)  

  • à partir du croisement d’un ensemble de données (exemple : une femme vivant à telle adresse, née tel jour, abonnée à tel magazine et militant dans telle association)



Qu’est-ce qu’un traitement de données personnelles ?

Un « traitement de données personnelles » est une opération, ou ensemble d'opérations, portant sur des données personnelles, quel que soit le procédé utilisé (collecte, enregistrement, organisation, modification…).


Exemple : tenue d’un fichier de ses clients, collecte de coordonnées de prospects via un questionnaire, mise à jour d’un fichier de fournisseurs, etc.

Un traitement de données doit avoir un objectif, une finalité, c’est-à-dire que vous ne pouvez pas collecter ou traiter des données personnelles simplement au cas où cela vous serait utile un jour. A chaque traitement de données doit être assigné un but, qui doit bien évidemment être légal et légitime au regard de votre activité professionnelle.


Exemple : vous collectez sur vos clients de nombreuses informations, lorsque vous effectuez une livraison, éditez une facture ou, proposez une carte de fidélité. Toutes ces opérations sur ces données constituent votre traitement de données personnelles ayant pour objectif la gestion de votre clientèle.


Qui est  concerné par le RGPD ?


Tout organisme quels que soient sa taille, son pays d’implantation et son activité, peut être concerné. En effet, le RGPD s’applique à toute organisation, publique et privée, qui traite des données personnelles pour son compte ou non, dès lors :

  • qu'elle est établie sur le territoire de l’Union européenne,

  • ou que son activité cible directement des résidents européens.

Oui, toutes les entreprises sont concernées par le Règlement européen sur la protection des données (RGPD) :

  • Si elles collectent, stockent, utilisent des données à caractère personnel. Dans ce cas, les entreprises sont "responsables de traitements".

  • Si elles traitent des données à caractère personnel pour le compte d'autres entreprises. Dans ce cas, les entreprises sont "sous-traitantes".

​A noter : La CNIL a élaboré, en partenariat avec la Banque publique d'investissement (BPIfrance), un guide spécialement conçu pour les TPE-PME.



Quelles sont les obligations pour les TPE/PME ?

Site internet

Il faut prévoir au minimum :

  • Des « mentions CNIL » en bas du formulaire de contact.

  • Un moyen de contact pour que les personnes puissent exercer leurs droits par voie électronique.

  • Des mentions légales identifiant l’éditeur du site.

​​​


Votre site dépose des cookies ou traveurs publicitaire

Selon l’objet du traceur que vous utilisez sur votre site, il est nécessaire, soit d’informer l’internaute de son existence (exemple : cookie « panier d’achat »), soit d’obtenir son consentement (exemple  : cookie lié à une opération relative à la publicité) avant de déposer ou de lire le traceur sur son terminal.


Si votre site utilise des fonctionnalités offertes par d’autres sites (exemples : solutions de statistiques, boutons sociaux, vidéos provenant de plateformes tierces telles que Google, YouTube, Facebook, etc.), vous devez obtenir le consentement des visiteurs. Plus de détails disponibles sur site dédié de la CNIL.

Réseaux sociaux

Depuis Twitter, Facebook, et autres réseaux sociaux, prévoyez :

  • De rendre accessible un article ou un lien qui mène vers une page d’information sur les droits. Anticipez les effets d’une opération de communication en ligne (emailing par exemple).

  • Une réponse type aux internautes mécontents, qui exerceraient, par exemple leur droit d’opposition.

Clients

  • N’utilisez pas des données personnelles librement accessibles sur internet sans prendre des précautions.

  • Soyez vigilant sur les bases de données marketing en vente sur internet à des prix particulièrement attractifs.

  • Utilisez des fichiers « qualifiés », c’est-à-dire comportant des données fiables concernant des personnes qui seront a priori attirées par l’offre ou le service que vous proposez.

  • Au moment de la collecte de données personnelles, informez vos clients sur ce que vous faites de leurs données.

  • Ne gardez pas indéfiniment les données. Prévoyez la suppression des informations en cas d’inactivité prolongée de vos clients (3 ans à compter de la fin de la relation commerciale). Vous devez toutefois conserver certaines données en raison d’obligations légales (notamment comptabilité, contentieux, etc.). Archivez-les dans une autre base de données dont l’accès est plus restreint.

Collaborateurs

De très nombreuses données personnelles relatives aux employés sont nécessaires pour la gestion de leur carrière au sein de votre entreprise.

  • Ne demandez à vos employés que les informations utiles pour accomplir leurs missions, et évitez de traiter des données dites « sensibles » (activité syndicale, opinions politiques, religion, origine ethnique, santé). Si vous devez en traiter, des obligations particulières sont applicables.

  • Vous disposez forcément d’informations particulières (et donc à risque) sur vos employés (coordonnées bancaires pour la paie, numéro de sécurité sociale pour les déclarations sociales, etc.). Assurez-vous d’en garantir la confidentialité et la sécurité. Ainsi, seules les personnes habilitées doivent en prendre connaissance. Les actions sur les données effectuées par les personnes habilitées doivent être enregistrées (savoir qui se connecte à quoi, quand et pour faire quoi). Informez vos collaborateurs à chaque fois que vous leur demander des informations (exemple : mise à jour des données administratives, demande de formation, formulaire d’entretien d’évaluation, etc.).

​La CNIL met à disposition un document PDF dédié à la gestion du personnel.

Gestion des données

​​

  • Identifiez les activités principales de votre entreprise qui nécessitent la collecte et le traitement de données et recensez vos fichiers dans un registre. (Modèle de registre fourni par la CNIL).

  • Limitez l'accès des données au minimum de personnes et sécurisez l'accès.

  • Respectez les droits des personnes. À chaque fois que vous collectez des données personnelles, le support utilisé (formulaire, questionnaire, etc.) doit comporter des mentions d’information : 

  1. pourquoi vous collectez les données​

  2. ce qui vous autorise à traiter ces données

  3. qui a accès aux données

  4. combient de temps vous les conservez

  5. les modalités selon lesquelles les personnes peuvent exercer leurs droits

  6. si vous transférez des données hors de l'Union européenne

Kapehos,1854 rue des sources, 14920 Hérouville-Saint-Clair

Tél : 07 74 71 93 70

Retrouvez-nous sur :

  • LinkedIn - White Circle
  • Facebook - White Circle
  • Twitter - Cercle blanc