Le RGPD expliqué aux indépendants
Vous êtes indépendant et vous voulez vous mettre en conformité avec le RGPD? Le département Digital de l’étude DSM Avocats à la Cour vous présente les quelques étapes à parcourir pour devenir un as de la protection des données.
Depuis son entrée en vigueur en 2018, le Règlement général pour la protection des données (RGPD) fait beaucoup parler de lui et les principes de la protection des données commencent à être connus du grand public. Le RGPD est un règlement européen visant à protéger les données personnelles des ressortissants de l’Union européenne. L’objectif est de préserver la vie privée des citoyens européens en leur donnant davantage de droits et surtout de leur offrir une grille de lecture sur l’utilisation faite par les entreprises de leurs données personnelles.
Est-ce que cela me concerne?
Le champ d’application du RGPD est extrêmement large. Il s’applique à toute organisation qui collecte et traite des données personnelles. Toutes les entreprises sont donc concernées, quelle que soit leur taille ou leur domaine d’activité. Ainsi en tant qu’indépendant, vous êtes aussi concerné par la protection des données et vous devez vous mettre en conformité!
À partir du moment où vous traitez des données à caractère personnel dans le cadre de votre activité, vous êtes concerné par le RGPD.
Entreprise individuelle, petite société, peu importe votre statut: à partir du moment où vous traitez des données à caractère personnel dans le cadre de votre activité, vous êtes concerné par le RGPD. Mais pas de panique, si les données personnelles ne sont pas au cœur de votre activité, les moyens à déployer pour vous mettre en conformité ne seront pas forcément très importants.
Comment me mettre en conformité?
Plusieurs étapes sont nécessaires pour se mettre en conformité. Le plus important est d’abord de prendre conscience des traitements de données afin de les recenser, de les trier, de les sécuriser et de permettre aux personnes concernées d’exercer leurs droits. Ce sont les quatre étapes principales de votre mise en conformité.
Les obligations découlant du RGPD se séparent en deux parties: d’abord les principes de la protection des données, qui constituent les piliers du texte, puis les bonnes pratiques à adopter.
Quels sont les grands principes de la protection des données?
-
- Principe de licéité, loyauté et de transparence. Quand vous collectez des données personnelles, vous devez le faire de façon licite (c’est-à-dire en appliquant une des six bases légales prévues par le RGPD), loyale et transparente. Le responsable du traitement doit toujours être de bonne foi dans sa démarche. Le principe de transparence inclut l’information des personnes concernées et notamment l’énoncé de leurs droits acquis et futurs en vertu du RGPD et s’agissant de leurs données personnelles.
-
- Principe de finalité. Quand vous collectez des données personnelles, vous devez le faire pour une finalité déterminée, explicite et légitime. Les données ne peuvent pas être traitées de manière incompatible avec cette finalité (par exemple leur utilisation ultérieure pour une autre finalité).
Quand vous collectez des données personnelles, vous devez le faire pour une finalité déterminée, explicite et légitime.
-
- Principe de minimisation et d’exactitude. Quand vous collectez des données personnelles, vous devez vous assurer que celles-ci sont strictement nécessaires à la finalité recherchée. Les données collectées doivent également être pertinentes, c’est-à-dire qu’elles reflètent au mieux la réalité. Cela signifie qu’elles doivent être tenues à jour.
-
- Principe de durée de conservation limitée. Quand vous collectez des données personnelles, vous devez veiller à ce que celles-ci ne soient pas conservées de manière illimitée. En effet, les données ne doivent pas être conservées plus longtemps que nécessaire, la durée de conservation varie selon la finalité pour laquelle elles ont été collectées.
-
- Principe d’intégrité et de confidentialité. Quand vous collectez des données personnelles, vous devez pouvoir garantir un niveau de sécurité suffisant pour le traitement de celles-ci. Cette sécurité passe par la prise de mesures techniques et organisationnelles appropriées (telles que la pseudonymisation, le chiffrement, la sauvegarde régulière des données, la limitation de l’accès aux données, etc.).
Comment assurer les droits des personnes concernées?
Les droits des personnes concernées étant au cœur du RGPD, il faut pouvoir les respecter et mettre en œuvre leurs garanties.
D’abord, il faut être en mesure de fournir une information complète à la personne concernée pour le ou les traitements de données envisagées. Cette information doit être intelligible et facilement accessible. C’est le droit à l’information.
Ensuite, le responsable du traitement, c’est-à-dire la personne qui est à l’origine de celui-ci, doit avoir la capacité de répondre aux demandes d’exercice de droit des personnes dont il traite les données. Ces droits comprennent notamment le droit d’accès, le droit de rectification, le droit à l’effacement, etc.
Tous ces droits visent à redonner la main aux personnes concernées sur ses données personnelles. Le RGPD réaffirme les droits des personnes concernées de maîtriser leurs données.
Quels sont les bons réflexes à adopter?
D’abord, vous devez établir un registre des traitements. Le registre est un document centralisé qui répertorie tous les traitements de données personnelles réalisés pour les activités de l’entreprise. Il permet de documenter les informations essentielles sur le traitement (finalité, catégorie de données collectées, durée de conservation, etc.). Il permet aussi de faciliter la gestion des demandes d’exercice de droit des personnes concernées et d’avoir une vision globale des activités de traitement réalisées au sein de l’organisation. Il sera utilisé pour montrer la conformité des traitements réalisés en cas de contrôle.
Ensuite, vous devez avoir la capacité d’identifier la base légale du traitement, c’est-à-dire la base juridique sur laquelle se fonde votre traitement. Le RGPD en consacre six, la plus connue étant sans doute le consentement. Or, cette base légale ne doit être utilisée que lorsqu’une autre base légale ne trouve pas à s’appliquer (par exemple l’exécution d’un contrat). En outre, le consentement devra être donné pour chaque finalité déterminée et pourra être retiré à tout moment par la personne concernée.
Les autorités de protection des données recommandent de recourir à un DPO dès qu’on effectue régulièrement des traitements de données personnelles.
Vous devez également analyser la nécessité de nommer un délégué à la protection des données (DPO). La nomination d’un DPO n’est obligatoire que dans certains cas, mais il est toujours intéressant de se poser la question. Les autorités de protection des données recommandent de recourir à un DPO dès qu’on effectue régulièrement des traitements de données personnelles. Selon votre activité, la nomination d’un DPO pourra être obligatoire, nécessaire ou accessoire. Il est intéressant de savoir que les coûts liés à cette nomination peuvent être diminués si vous partagez un DPO entre plusieurs indépendants.
Le DPO agit en « chef d’orchestre » de la gestion des données. Ainsi, il informe, contrôle et forme les personnes amenées à traiter des données afin que celles-ci respectent les principes de la protection des données. Le DPO ayant uniquement un rôle de conseiller, vous restez seul à engager votre responsabilité s’agissant de votre conformité RGPD!
Quels sont les avantages de la mise en conformité?
Si une mise en conformité RGPD est nécessaire au regard de la réglementation, elle est aussi une occasion de se questionner sur son approche de la donnée et de la transformation numérique. Il existe ainsi plusieurs raisons d’aborder cette mise en conformité comme une opportunité.
Du fait de l’affirmation des droits des personnes concernées et de la promulgation des principes comme la transparence, le RGPD contribue en premier lieu à valoriser votre image de marque. En effet, une entreprise qui respecte les règles de la protection des données se présente comme une entreprise sérieuse et responsable avec laquelle il est possible de sceller des relations de confiance.
Ensuite, le RGPD permet d’avoir une gestion plus rigoureuse des données et donc de gagner en productivité. Mieux gérer votre entreprise peut vous permettre d’optimiser ses investissements en vous posant les bonnes questions.
Enfin, respecter les règles imposées par le RGPD rassure vos clients et prospects, ce qui peut constituer un avantage concurrentiel. Étant assurées que leurs données font l’objet de mesures de sécurité particulières, les personnes avec qui vous travaillez s’engagent plus facilement.
Le non-respect du RGPD est sanctionnable. En tant qu’indépendant, vous risquez autant qu’une grande entreprise.
Pour terminer, il est important de rappeler que le non-respect du RGPD est sanctionnable. En tant qu’indépendant, vous risquez autant qu’une grande entreprise. Les amendes encourues peuvent aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires, en plus d’une atteinte sévère à la réputation de votre entreprise. Les contrôles peuvent être opportuns, mais ils peuvent également découler de dénonciations d’anciens salariés mécontents ou de concurrents estimant que votre non-conformité vous procure un avantage concurrentiel.
Vous avez désormais les clés pour vous mettre en conformité avec le RGPD en tant qu’indépendant. Besoin d’aide pour mettre en place les mesures de conformité ou pour répondre à des questions spécifiques? Sollicitez l’expertise d’avocats spécialisés en RGPD.
Ce contenu a été rédigé par le département Digital de l’étude DSM Avocats à la Cour.