Compliance RGPD : les étapes incontournables pour les entrepreneurs
TOC Example
La contrathèque
Accédez gratuitement à nos modèles de contrats et templates
La compliance RGPD est désormais un impératif. Pour les startups, s'orienter à travers les méandres du Règlement Général sur la Protection des Données (RGPD) ressemble à un parcours du combattant. Toutefois, le process à mettre en place n’est pas si compliqué à partir du moment où vous comprenez la logique de la conformité.
Découvrez dans cet article, ce qu’implique la compliance RGPD, les étapes à suivre ainsi que les sanctions en cas de non-respect.
Qu'est-ce que la compliance ?
La compliance désigne l’ensemble des processus visant à assurer que l’entreprise, ses dirigeants et ses employés respectent les normes légales et éthiques. Appelée également conformité, cette mesure vise à adopter les bonnes pratiques pour :
- protéger l'entreprise contre les sanctions, amendes et autres pénalités auxquelles elle s’expose en cas de non-respect de la réglementation ;
- favoriser une culture d'intégrité et d'éthique au sein de l'entreprise : lutte contre la fraude et le blanchiment d’argent, le respect de la concurrence, la RSE, mais également la protection des données personnelles ;
- renforcer la réputation de l'entreprise auprès de ses clients, partenaires et du grand public.
Comprendre le RGPD et sa portée
Entré en vigueur le 25 mai 2018, le RGPD poursuit trois objectifs principaux :
- Harmonisation de la juridiction européenne en matière de protection des données personnelles ;
- Renforcement du droit des citoyens tout en simplifiant la compréhension de l’environnement réglementaire des entreprises ;
- Protection des données à caractère personnel.
Les principales exigences du RGPD à l’égard des entreprises sont les suivantes :
- Garantir la transparence et le traitement licite et légitime des données ;
- Limiter la finalité, les données et leur conservation ;
- Respecter les droits des personnes concernées ;
- Recueillir le consentement des personnes concernées ;
- Assurer la protection des données dès la conception.
Les étapes incontournables de la compliance RGPD
Identification et tri des données
Sont concernées par le RGPD, toutes les données à caractère personnel, c’est-à-dire toute information relative à une personne physique, susceptible d’être identifiée, directement ou indirectement. Il peut s’agir d’un nom, une adresse postale, une empreinte, un numéro de téléphone, une adresse email, un matricule interne, un enregistrement vocal, une adresse IP ou un numéro de sécurité sociale.
Les données que vous recueillez doivent se limiter à l’objectif poursuivi. Il convient alors de les trier afin de relever les données pertinentes et supprimer celles qui ne le sont pas.
Le registre de traitement vous donne l'occasion d’effectuer cet inventaire et de retrouver facilement les données en vue de faciliter leur traitement.
Consentement
Se conformer au RGPD implique également pour l’entreprise, d’obtenir le consentement des individus pour recueillir leurs données. Pour être valide, le consentement doit être cumulativement :
- Un acte positif et univoque : la personne donne son consentement en cochant une case sur un formulaire. Si la case de déclaration de consentement est pré-cochée à l’avance, le consentement est invalide ;
- Un acte libre : la personne choisit volontairement d’accepter le traitement, sans aucune influence extérieure ;
- Un acte spécifique : le consentement est donné pour un traitement et une finalité déterminée.
Les process à mettre en place : case pour l’inscription à une newsletter, politique de confidentialité accessible, contact de la personne pour exercer les droits, acceptation des cookies, etc.
Exercice des droits
Il faut donner la possibilité aux personnes dont les données ont été récoltées d’en rester maître. Le RGPD prévoit plusieurs droits :
- Le droit d’accès : permet à un individu de demander une copie des données à caractère personnel le concernant ;
- Le droit d’effacement : permet de demander la suppression de ses données à caractère personnel ;
- Le droit de rectification : permet à l'individu d’avoir la possibilité de corriger ou de compléter ses données à caractère personne qu’il estime inexactes ou incomplètes ;
- Le droit à la limitation du traitement : permet de demander à une organisation de limiter le traitement de ses données à caractère personnel ;
- Le droit d’opposition : permet à un individu de s'opposer au traitement de ses données à caractère personnel pour un objectif précis ;
- Le droit à la portabilité : permet à un individu de recevoir les données à caractère personnel dans un format structuré, couramment utilisé et lisible et de transmettre ces données à une autre organisation sans entrave.
Ces différents droits impliquent d’organiser une politique de traitement d'exercice des droits avec les différents services concernés : marketing, commercial, informatique, mais aussi les sous-traitants auxquels vous pourriez faire appel.
Mesures de sécurité et protection des données
L’entreprise à l’obligation de protéger les données personnelles des utilisateurs. Pour assurer leur sécurité, la CNIL donne les recommandations suivantes :
- Sensibilisation des utilisateurs ;
- Authentification des utilisateurs ;
- Traçage des opérations et gestion des incidents ;
- Sécurisation des postes de travail ;
- Protection du réseau informatique interne ;
- Sauvegarde régulière des données.
Comment démontrer la compliance RGPD ?
Vous devez constituer une documentation pour prouver votre conformité au RGPD. L’idée est de retranscrire toutes vos actions sur le sujet et de rassembler les documents réalisés à chaque étape du processus.
Exemples :
- Politiques et procédures internes. Les documents doivent refléter les principes du RGPD tels que la minimisation des données, l'exactitude, la limitation de la conservation, l'intégrité et la confidentialité ;
- Registre des activités de traitement. Ce registre est un bon outil de pilotage qui inclut des éléments essentiels pour votre compliance RGPD : nature des données, finalité du traitement, base légale, etc.
- Analyses d'impact relatives à la protection des données (AIPD). Ce document est obligatoire pour les entreprises qui gèrent des données à haut risque ;
- Accords de traitement des données. Rassembler les accords écrits en place qui définissent les responsabilités de chaque partie en matière de protection des données si vous faites appel à des sous-traitants ;
- Mécanismes de consentement et d’exercice des droits. Définition des process mis en place pour obtenir le consentement des individus et pour répondre aux demandes d'exercice des droits des individus (accès, rectification, effacement, etc.) ;
- Mesures de sécurité : documentation sur les mesures techniques et organisationnelles pour garantir la sécurité des données.
Pour aller encore plus loin, selon votre domaine d’activité, vous pouvez envisager d’obtenir des certifications ou d'adhérer à des codes de conduite approuvés dans le domaine de la protection des données, servant ainsi de preuves supplémentaires.
Les conséquences juridiques du non-respect du RGPD
Le non-respect des règles du RGPD expose l’entreprise à des sanctions plus ou moins lourdes en fonction de la gravité du manquement. Les sanctions peuvent être administratives ou pénales.
- Amende administrative pouvant aller jusqu’à 10 millions d'euros ou 2% du chiffre d'affaires annuel mondial de la société. Pour les manquements les plus graves, ce montant peut s'élever jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires annuel mondial.
- Sanctions pénales : la collecte des données à caractère personnel par un moyen frauduleux, déloyal ou illicite est puni de cinq ans d'emprisonnement et de 300 000 euros d'amende.
Face à l’ampleur des obligations qu’impose la mise en conformité RGPD, les experts recommandent d’adopter une démarche proactive. Les avocats experts en compliance RGPD sont là pour vous accompagner afin de prioriser vos actions et de mettre en place la documentation adéquate pour prouver votre conformité en cas de contrôle.
L'abonnement juridique illimité pour les entrepreneurs
Fonds publics, conflit d'associés, mise en conformité RGPD, M&A, contentieux : découvrez toutes nos offres conçues pour les startups.