Le 25 mai 2018, le Règlement Général sur la Protection des Données (RGPD en français, et GDPR en anglais) entrera en application. Validé en avril 2016, il renforce la protection des citoyens et accentue par conséquent les obligations de toutes les entreprises (y compris les sites de e-commerce). Quelles que soient leur taille et leur activité, elles doivent dès à présent s’organiser pour être en conformité.
72 heures chrono !
Si l’entreprise est victime d’un piratage informatique de son réseau, entraînant une fuite de données à caractère personnel, elle devra en avertir la Commission nationale de l’informatique et des libertés (la CNIL) sous 72 heures. Passé ce délai ou si elle n’avertit pas cet organisme, la PME devra s’acquitter d’une amende. L’article 83.6 du RGPD précise que cette sanction peut atteindre jusqu’à 4% du chiffre d’affaires mondial annuel total de l’exercice précédent. Cependant, cette sanction ne concerne pas les TPE-PME. Les juges tiendront compte en effet des moyens et des compétences des entreprises.
Protection des citoyens
Pour schématiser, le RGDP renforce et généralise la Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés en vigueur en France. Jusqu’à présent, l’obligation de notifier les violations de données personnelles ne concernait que les fournisseurs de services de communications électroniques.
Cette pression plus forte sur les entreprises s’explique par l’objectif de ce règlement : le renforcement de la protection des citoyens. Dorénavant, elles doivent obtenir un consentement explicite de la part de l’utilisateur final quant à l’utilisation ou l’enregistrement de ses données privées. Elles doivent permettre la portabilité des données personnelles aux utilisateurs qui en feraient la demande. Enfin, ceux-ci bénéficient d’un droit à la suppression de leurs données personnelles par l’entreprise qui les traite.
Données brutes
Pour la majorité des TPE-PME, la mise en conformité avec le RGDP est complexe. Cette difficulté commence dès que l’on aborde la définition d’une « donnée à caractère personnel ». Pour schématiser, il s’agit d’une donnée permettant d’identifier une personne : nom, âge, lieu de naissance, numéro de sécurité sociale… Cela concerne donc les fichiers clients et prospects, mais aussi les informations sur les salariés, intérimaires, stagiaires… ll y a aussi des « données brutes » (ou « data » en anglais), comme l’historique de navigation, les « likes » sur les réseaux sociaux et les enseignements que l’on en retire (comme des préférences déduites de cette navigation et de ces « likes »). En cas de fuites de données, les entreprises devront avertir par lettre recommandée avec accusé de réception tous leurs clients et salariés.
La sensibilisation des salariés
Seule une politique générale de protection de la vie privée, impliquant des mesures organisationnelles, juridiques et techniques spécifiques, permet d’être en conformité avec ce règlement. Les mesures techniques peuvent prendre plusieurs formes et en particulier :
- la pseudonymisation : pour éviter toute exploitation très ciblée ;
- le chiffrement (ou cryptage) : pour réduire les risques d’exploitation de ses bases de données en cas de piratage du réseau informatique ou de vol d’un ordinateur portable ;
- des sauvegardes : pour garantir l’intégrité, la disponibilité et la résilience.
Même si l’échéance paraît encore lointaine, il est indispensable de mettre rapidement en place un état des lieux de l’entreprise, afin de démarrer les actions suivantes :
- l’inventaire exhaustif des supports internes ou externes enregistrant ce type de données ;
- la sélection et l’intégration de solutions garantissant la sécurité de ce type de fichiers ;
- la sensibilisation des salariés afin qu’ils intègrent ces notions de respect de la vie privée dès la conception d’une nouvelle application, service ou même équipement recueillant des données.
Autant d’objectifs plus complexes qu’ils n’y paraissent. Afin de relever ces défis, les TPE-PME devront s’entourer de partenaires extérieurs afin de les conseiller et les accompagner dans la durée.
RGPD : Le guide pour les Petites et Moyennes Entreprises
Les informations dont vous avez besoin pour comprendre et aller de l’avant
Prochaine lecture recommandée
Certification ISO 27018 : garantissez le respect de la protection des informations personnelles
![[#Sage On Air] Podcast](https://www.sage.com/fr-fr/blog/wp-content/uploads/sites/4/2022/07/alexandre-martinez-podcasts-sage-684x384.jpg)