Le RGPD, une nouvelle organisation pour les entreprises

Partager

Face à l’explosion du numérique, le Parlement européen a adopté définitivement le 14 avril 2016 un texte introduisant un règlement pour responsabiliser les organismes à la collecte et au traitement des données personnelles dans le but de renforcer le droit privé, RGPD (Règlement Général sur la Protection des Données).

Les enjeux du RGPD sont d’autant plus d’actualité que l’accès aux informations des utilisateurs est de plus en plus simple. Il est aujourd’hui presque indispensable de renseigner ses données personnelles pour accéder à une page web ou à un service.

Les grandes entreprises ont réussi à se soumettre aux règles du RGPD, mais cela n’est pas forcément le cas des petites organisations comme les PME, les Start-Ups ou mêmes les Junior-Entreprises. Celles-ci ne sont pas suffisamment sensibilisées à ces enjeux et la mise en application de ces nouvelles normes est parfois floue. En quoi est-il alors important d’intégrer le RGPD à l’organisation de sa structure?

Qu'est-ce que le RGPD ?


Entré en vigueur le 25 mai 2018, 2 ans après l’adoption du texte, le RGPD encadre juridiquement la collecte et le traitement des données personnelles sur le territoire de l’Union Européenne. Ce règlement fait suite à la Loi française Informatique et Libertés de 1978. L’objectif est d’uniformiser et de renforcer la réglementation autour de l’utilisation des données personnelles des professionnels dans l’ensemble des pays européens. Selon la CNIL, une « donnée personnelle » correspond à « toute information se rapportant à une personne physique identifiée ou identifiable ».

Dans un monde toujours plus connecté et digitalisé, il est nécessaire d’instaurer un cadre juridique précis et strict afin que chaque donnée soit utilisée à bon escient et protégée. L’objectif est de rassurer l’internaute dans son utilisation du web afin qu’il n’ait de craintes quant au traitement de ses données personnelles. Le RGPD permet donc aux entreprises de développer leurs activités numériques au sein de l’Union Européenne tout en s’assurant de la confiance des utilisateurs.

Aussi, le “gendarme des données personnelles”, la CNIL, surveille de près le respect de ce nouveau règlement. En cas de non-respect des règles du RGPD, les entreprises risquent une amende de 2 à 4% du chiffre d’affaires annuel. En 2018, depuis l’entrée en vigueur du règlement, la CNIL a enregistré plus de 1 200 cas de violations de données personnelles. Cette situation reflète que les entreprises sont trop peu sensibilisées à la problématique de la cybersécurité et n’appliquent pas strictement le RGDP.


Comment appliquer le RGPD à sa structure ?


Selon l’article 5.1 du RGPD, les données personnelles doivent être :

  • Traitées de manière licite, loyale et transparente ;
  • Collectées à des fins déterminés, explicites et légitimes ;
  • Adéquates, pertinentes et limitées ;
  • Exactes et tenues à jour ;
  • Conservées pendant une durée raisonnable ;
  • Traitées de façon à garantir leur protection.

Pour se mettre en conformité avec le RGPD et respecter les six obligations énoncées par la CNIL ci-dessus, il est important de mettre en place certaines actions essentielles :
RGPD

  1. Nommer un délégué à la protection des données, un DPO (Data Protection Officer) qui va veiller à ce que la protection des données à caractère personnel soit conforme au RGPD. Expert de la problématique des données personnelles, le DPO conseille la structure et dialogue avec les autorités de la protection des données. Depuis le 25 mai, le nombre de DPO a explosé passant de 5 000 CIL (correspondants informatique et libertés) à 13 000 DPO.

  2. Cartographier les traitements des données personnelles afin d’identifier les activités principales de l’entreprise par la suite. La CNIL conseille de créer un registre des traitements pour mesurer l’impact du RGPD sur une structure.

  3. Gérer les risques : le DPO doit pouvoir prouver que les traitements effectués dans l’entreprise sont conformes au RGPD. En étant conscientes des risques potentiels pour la liberté des personnes dont les données sont traitées, les entreprises doivent connaître la pertinence de chaque sauvegarde. Cela est possible en analysant l’impact sur la protection des données (AIPD), processus conseillé par la CNIL.

  4. Organiser le fonctionnement interne pour s’assurer que la gestion de la protection des données personnelles est efficace et suffisante. Il faut alors mettre en place des procédures internes pour convenir du parcours de vie d’une donnée personnelle. Aussi, chaque employé doit être sensibilisé à la question et constituer une documentation précise accessible à tous.

Comment les entreprises intègrent le RGPD à leur culture d'entreprise ?


Pour 97% des entreprises aujourd’hui, le volume des données collectées ne cesse d’augmenter, alors qu’un tiers d’entres elles ne savent pas où leurs données vont être stockées. C’est ici qu’entre en jeu le RGPD : il permet aux entreprises d’être vigilantes à la question du traitement et du stockage des données pour ne pas risquer de violer leur utilisation. En effet, 80% de ces entreprises ne demandent pas automatiquement l’autorisation des clients pour l’utilisation de leurs données, ce qui est illégal.

Tous les organismes et entreprises sont touchées par le RGPD et doivent l’intégrer à leur système data dès qu’elles sont sur le territoire européen ou traitent directement avec des résidents européens. Cela est indépendant de leur taille, de leur effectif ou de leur domaine d’activité. Des géants comme Google, Facebook, Amazon ou encore Uber doivent donc tenir compte des modalités du RGPD s’ils veulent continuer, sans risque, à fournir des biens et des services à la population européenne.

Ainsi, pour intégrer pleinement le RGPD à leur structure, les entreprises doivent réformer leur culture d’entreprise, en repensant la manière dont elles traitent leurs clients et surtout leurs données. C’est ici que le rôle du DPO est majeur : en cherchant à instaurer le respect des données personnelles du client, chaque entité de la société va devoir repenser son fonctionnement pour intégrer la règle de la confidentialité à son organisation. A chaque collecté d’une donnée personnelle, l’entreprise doit mettre au centre la confidentialité afin que cela devienne une norme au sein de toute la société.

Aussi, c’est une opportunité d’axer pleinement leur philosophie vers leurs clients. En cherchant à mettre en confiance le client et en mettant en valeur le respect immédiat de leur donnée, l’entreprise adopte une stratégie unique et novatrice qui va lui permettre d’augmenter sa fidélisation client et d’avoir un avantage compétitif face à ses concurrents.

Par conséquent, au-delà d’une protection des données personnelles renforcée, le RGPD oblige les entreprises à repenser leur approche client vers une relation de confiance et de sécurité.

Le RGPD au sein des Junior-Entreprises


Les Junior-Entreprises, définies comme un organisme associatif par la loi 1901, doivent également appliquer les règles du RGPD. La collecte et le traitement des données personnelles de ses clients, des étudiants et des membres de la structure sont des actions communes dans ces structures. C’est pourquoi dans le cadre de l’audit annuel de la Confédération Nationale des Junior-Entreprises, leurs auditeurs-conseils sont aussi missionnés pour contrôler le respect du règlement.

Au sein des Juniors, l’enjeu du RGPD est le même que dans les entreprises : intégrer le RGPD pour respecter la confidentialité de leur clientèle et créer une approche client plus qualitative.

Quelles actions mettre en place au sein d’une Junior-Entreprise ?

Tout comme les entreprises, une Junior va nommer un DPO, une personne chargée du respect de la protection des données personnelles. Il va monter en compétences sur la problématique de la confidentialité et aider chaque pôle de la structure à appliquer les règles du RGPD à son fonctionnement. Son rôle est donc de réaliser un contrôle interne sur l’ensemble de la structure pour s’assurer du bon traitement des données personnelles et de leur confidentialité.

Le DPO va aussi être vigilant au respect des 5 droits des personnes selon la CNIL : le droit d’accès, le droit de rectification, le droit à l’effacement, le droit d’opposition, le droit à la portabilité. Ces droits sont fondamentaux et chaque individu en lien avec la Junior (client, administrateur, membre ou étudiant) peut demander si ces droits sont bien respectés.

L’un des moyens de vérifier si le processus de respect des données personnelles est efficace, c’est de solliciter un étudiant externe à la structure qui cherche à s’assurer qu’un de ses 5 droits est bien respecté. Le DPO ne doit pas avoir connaissance qu’il s’agit d’une demande fictive. Il sera alors possible de savoir si l’organisation du délégué et de l’ensemble des pôles est résolument bonne ou non.

La Junior doit procéder à un registre des flux de données personnelles. Ce registre doit expliquer l’objectif des traitements de données effectués, le type des traitements et le rôle des personnes qui les manipulent. C’est dans ce sens que la CNIL demande à cartographier les bases de données de la Junior pour identifier les secteurs d’activité et s’assurer du bon respect du règlement

Aussi, il est possible d’augmenter la sécurité des données personnelles par des actions très simples. Les Juniors doivent mettre à jour leurs antivirus et leurs logiciels mais aussi changer régulièrement de mots de passe en les rendant complexes. Cela permet d’assurer la sécurité des données personnelles en minimisant le risque de piratage ou de perte de données.

Finalement, dans des cas spécifiques de sous-traitance, il est nécessaire de s’assurer que le prestataire respecte le RGPD pour éviter tout potentiels problèmes afin de garantir la sécurité et la confidentialité des données de votre client.



Le RGPD ne soulève finalement pas que l’enjeu de la protection des données personnelles. Cette loi modifie la manière dont les entreprises doivent penser leur approche vis sà-vis de leur clientèle en respectant la confidentialité de leurs données. Elle incite donc à repenser leur organisation et leur culture d’entreprise pour se recentrer sur le client. Plutôt que d’envisager le RGPD comme une contrainte, les entreprises doivent l’appréhender comme l’opportunité de renforcer la confiance du client dans leur structure pour finalement augmenter leur satisfaction. La refonte de leur modèle sera dès lors positive.

Pour en savoir plus sur ESCadrille : https://www.escadrille.org/fr/solutions