Check-list RGPD : 8 éléments-clé que votre société doit connaître
Le RGPD (Règlement Général sur la Protection des données) ou GDPR en anglais (General Data Protection Regulation) a marqué un changement majeur dans la manière dont les données personnelles d’individus sont collectées, conservées et utilisées.
La liste de contrôle RGPD que nous vous proposons épingle quelques éléments-clé dont votre société doit absolument tenir compte.
Le RGPD étend sensiblement la portée des précédentes règles en matière de protection des données et a un impact sur les sociétés de toutes tailles, depuis les entreprises unipersonnelles jusqu’aux multinationales les plus imposantes.
Il n’y a dès lors rien d’étonnant à ce que de nombreuses entreprises se posent encore des questions au sujet du RGPD et de la manière dont il influence leurs activités au quotidien.
Nous abordons et répondons ici aux questions les plus fréquemment posées. A savoir :
- Ma société doit-elle être certifiée RGPD ?
- Mon entreprise doit-elle procéder à des audits ou à des inspections RGPD ?
- Je suis une petite société unipersonnelle. Le RGPD s’applique-t-il également à mon cas ?
- Quelles sont les conséquences d’infractions au RGPD ?
- Combien le RGPD peut-il coûter à mon entreprise ?
- Dois-je désigner un Data Protection Officer (DPO) ?
- Ma société n’est pas située dans l’UE ou au Royaume-Uni. Dois-je respecter le RGPD ?
- Ma société n’est pas établie dans l’UE. Le RGPD a-t-il un impact sur mes activités ?
1. Ma société doit-elle être certifiée RGPD ?
Non. Le texte du RGPD n’inclut aucune référence et ne fait allusion à aucun mandat pour un système de certification spécifique.
Le RGPD encourage par contre à recourir à une certification volontaire par des instances ou organismes sectoriels conformes EN-ISO/IEC 17065/2012 et qui sont homologués par des organismes de contrôle compétents tels que le Comité Européen de la Protection des Données (EDPB) dans l’UE.
Bien que la certification RGPD soit souhaitable dans la perspective de garanties, notamment en matière de mesures techniques et de sécurité, elle revêt surtout de l’importance pour les partenaires qui traitent des données pour le compte de tiers.
2. Mon entreprise doit-elle procéder à des audits ou à des inspections RGPD ?
Le RGPD ne comporte aucune obligation d’inspections ou d’audits réguliers de la part des instances publiques mais les autorités de contrôle ont bel et bien le droit d’effectuer des audits en vertu de leur droit d’enquête.
Cela ne signifie toutefois pas que des inspections ou des audits auto-imposés n’en valent pas la peine ou soient même exigés dans la pratique à des fins de respect du RGPD.
La situation est un rien plus complexe pour les tiers qui proposent du traitement de données sous forme de services à d’autres entités.
Ils doivent garantir la disponibilité de toutes les informations nécessaires afin de prouver à la société qui les mandate que les contraintes du RGPD sont bien respectées.
Ils doivent également autoriser des audits et des inspections et y contribuer lorsque la société qui fait appel à leurs services l’exige.
Il ne suffit toutefois pas de respecter le RGPD. Chaque société doit pouvoir démontrer qu’elle le fait. Cela s’appelle le « principe de responsabilité ».3. Je suis une petite société unipersonnelle. Le RGPD s’applique-t-il également à mon cas ?
Oui. Le RGPD s’applique à toutes les personnes et sociétés qui mènent une activité commerciale dans le cadre de laquelle des données personnelles sont traitées. Et cela vaut même pour des organismes tels que des partenariats, des organisations caritatives, des clubs et des associations.
Le fait que l’entité soit ou non légalement reconnue ne fait aucune différence.
4. Quelles sont les conséquences d’infractions au RGPD ?
Votre société peut se voir imposer une amende allant jusqu’à 4% de son chiffre d’affaires annuel, ou jusqu’à 20 millions d’euros, selon le montant le plus élevé.
Notez qu’il est possible de commettre une infraction au RGPD sans qu’il y ait réellement de perte de données.
5. Combien le RGPD peut-il coûter à mon entreprise ?
Les frais qu’encourt une entreprise moyenne peuvent inclure une partie ou la totalité des éléments suivants :
- des frais d’enregistrement auprès du Comité Européen de la Protection des Données (EDPB), frais que doivent acquitter les entreprises qui traitent des données personnelles ; le montant varie selon l’importance du chiffre d’affaires et la quantité de données personnelles qui sont traitées ;
- des audits de l’ensemble des processus – tous départements confondus – ; idéalement par des individus ou des sociétés qualifiés ;
- des adaptations, telles que la formation du personnel et des aménagements à apporter au niveau de l’infrastructure informatique ;
- l’éventuelle désignation d’un Data Protection Officer (DPO – voir question 6 ci-dessous) ;
- la mise en oeuvre et la maintenance de processus de documentation permanents qui démontrent le bon respect du RGPD ;
- des frais de certification volontaire, en particulier si votre société traite des données pour le compte d’autres sociétés (voir questions 1 & 2 ci-dessus), en n’oubliant pas que vous ne devez engager que des organismes de certification qui satisfont à la norme EN-ISO/IEC 17065/2012 et qui sont approuvés par les autorités compétentes, telles que l’EDPB dans l’UE.
6. Dois-je désigner un Data Protection Officer (DPO) ?
Certains types de sociétés doivent y procéder.
Quelques exemples : des sociétés actives dans le secteur public, ou lorsque vos activités principales concernent le monitoring, à grande échelle, d’individus (profilage) ; ou, autre exemple, lorsque vous traitez des données relevant de catégories spéciales, telles que des données médicales ou des données ayant trait à des condamnations pénales et à des infractions pénales.
Votre DPO peut être un collaborateur existant ou vous pouvez vous tourner vers une personne extérieure à l’entreprise.
Vous devez avertir l’autorité de contrôle de l’identité de la personne qui assume ce rôle et faire en sorte qu’elle soit correctement formée.
7. Ma société n’est pas située dans l’UE ou au Royaume-Uni. Dois-je respecter le RGPD ?
Le RGPD concerne toute société qui traite des données d’individus se trouvant dans l’UE ou au Royaume-Uni.
Si vous proposez des produits ou des services à des individus, dans l’UE ou au Royaume-Uni, et si vous conservez des données à propos de leur comportement de consommateur, il se peut que vous deviez désigner un représentant dans l’UE ou au Royaume-Uni afin de traiter toute question ayant trait au RGPD.
Vous devez par ailleurs signaler par écrit à l’autorité de contrôle l’identité de cette personne.
Divers acteurs tiers se sont d’ores et déjà spécialisés afin de répondre à cette obligation de représentation. Vous les trouverez sur Internet.
Au minimum, vous pouvez vous renseigner afin de vérifier si cette obligation s’applique à votre société.
8. Ma société n’est pas établie dans l’UE. Le RGPD a-t-il un impact sur mes activités ?
Le RGPD concerne toute société qui traite des données d’individus se trouvant dans l’UE.
Si vous proposez des produits ou des services à des individus dans l’UE et si vous conservez des données concernant le comportement des consommateurs, il se peut que vous deviez désigner un représentant dans l’UE afin de traiter toute question ayant trait au RGPD.
Vous devez par ailleurs signaler par écrit à l’autorité de contrôle l’identité de cette personne.
Au minimum, vous pouvez vous renseigner afin de vérifier si cette obligation s’applique à votre société.Il est difficile de prédire quelles seront les conséquences pour des sociétés, n’appartenant pas à l’UE, qui enfreindraient le RGPD. Ces conséquences pourraient impliquer une interdiction d’encore faire affaire dans l’UE aussi longtemps que la preuve du respect du RGPD n’est pas apportée. Ce qui peut prendre un certain temps.
Cela peut avoir des conséquences non seulement sur les ventes mais également pour les fournisseurs et avoir dès lors un effet dévastateur.