Autodiagnostic RGPD : votre TPE-PME est-elle en conformité ?
Fiche pratique | Publié le 08 mars 2019 | Mis à jour le 13 mai 2022
MMA a conçu un diagnostic en ligne pour vous permettre, TPE et PME, d’évaluer vos pratiques et votre niveau de risque par rapport aux nouvelles dispositions du RGPD (Règlement Général sur la Protection des Données) sur la collecte et l'utilisation des données personnelles.
Conçu spécialement pour les professionnels et petites entreprises, le diagnostic en ligne RGPD de MMA permet d’évaluer les points de risque de votre activité par rapport à la nouvelle règlementation. Avec le RGPD, les entreprises doivent notifier aux autorités de contrôle - ANSSI et CNIL en France - et à toutes les personnes concernées les incidents graves compromettant la sécurité des données. Sanction en cas de non-conformité : jusqu’à 4 % du chiffre d’affaires mondial !
Vos clients ont de nouveaux droits
L’un des changements induit par le RGPD est le renforcement de l’information du consommateur, notamment lors de son consentement pour l’utilisation de ses données, ainsi que la possibilité de révoquer le consentement. Le texte de la loi précise que le consentement doit être « libre, spécifique, éclairé et univoque ».
Si vous proposez par exemple un programme de fidélité, vous devez :
- dans la plupart des cas, prévoir dans le formulaire d’inscription au programme (électronique ou papier) une case à cocher pour que le client autorise l’utilisation de ses données. La case ne doit pas être pré-cochée ;
- informer explicitement par une mention sur le formulaire de la façon dont le client peut accéder à ses données ou les supprimer par la suite.
Le RGPD introduit d’autres droits : le droit à la portabilité par exemple, qui vise à faciliter pour l’utilisateur le changement de service, par le transfert des données d’un responsable du traitement à un autre. Il en renforce également d’autres, tel que le droit à l’oubli ou à l’effacement, permettant d’obtenir le retrait de ses informations personnelles d’une base de données.
Quelques pratiques avant l'application du RGPD | Avec le RGPD |
---|---|
En confiant ses données, les services demandaient souvent un consentement général qui s’appliquait à plusieurs traitements de données. | Le consentement de l’utilisateur pour l’utilisation de ses données doit être libre, spécifique, éclairé et univoque. Cette donnée doit être récoltée pour un traitement clairement spécifié à l’utilisateur. |
Sauf dispense, les traitements de données personnelles étaient déclarés à la CNIL. |
Les formalités de déclaration à la CNIL n’existe plus. L’entreprise ou l’organisme doit tenir un registre (format Excel, par exemple) des traitements réalisés. |
Les entreprises pouvaient désigner un Correspondant Informatique et Libertés mais elles n’y étaient pas obligées. | La désignation d’un Délégué à la Protection des Données est obligatoire pour les entreprises qui gèrent des volumes de données importants ou sensibles et peut être externalisé. |
Les sous-traitants pouvaient être dégagés de leur responsabilité, selon les clauses des contrats entre clients et fournisseurs. | Tout sous-traitant doit assistance à son client dans la mise en œuvre des droits des tiers en cas de demande d’effacement, d’accès, ou en cas de violation de données personnelles. |
Quelles entreprises sont concernées par le RGPD ?
Tout professionnel, entreprise ou organisme public est concerné par le RGPD à partir du moment où il collecte, stocke ou utilise les données personnelles de clients ou de salariés. Une donnée personnelle peut être un nom/prénom, un e-mail, une adresse, un numéro de téléphone et toute précision qui identifie la personne.
Par exemple, si vous avez des salariés, il est possible que leurs données soient gérées électroniquement par votre cabinet comptable. Dans ce cas, il convient de s’assurer que votre cabinet s’est mis en conformité.
La spécificité des TPE / PME
Les TPE et PME sont soumises aux mêmes obligations et sanctions que toutes les entreprises et organismes publics.
Il est recommandé de créer un registre pour les TPE et PME, conformément aux recommandations émises dans un guide commun publié par la CNIL et la BPI. La CNIL en propose un modèle de registre.
Dans tous les cas, prenez soin de vérifier que vous appliquez les principes RGPD vis-à-vis de vos clients, fournisseurs, prospects et salariés, et conservez une trace des démarches de conformité que vous aurez entreprises en interne, avec vos partenaires, vos fournisseurs et vos conseils, sous forme papier ou électronique.
Quels contrôles et quelles sanctions?
En France, le contrôle de la mise en œuvre du RGPD est du ressort de la CNIL (Commission Nationale Informatique et Libertés). Elle peut mener des contrôles en entreprise, sanctionner les organismes non conformes par des amendes administratives, et poursuivre les contrevenants en justice. Elle apprécie ses sanctions en fonction de la gravité des manquements et de la taille des entreprises ou organismes publics concernés.
La grande nouveauté du RGPD est la proportion des amendes en cas d’infraction. Avant le RGPD, par exemple, la CNIL a récemment infligé une amende de 150 000 euros à Facebook. Avec le RGPD, cette amende s’établit à 4 % du chiffre d’affaires mondial du contrevenant.
Comment se mettre en règle?
En priorité, utilisez les conseils et recommandations de la CNIL, ils sont très détaillés et la CNIL fait un important travail d’explication et d’accompagnement.
Vos partenaires habituels sont également là pour vous aider si une mise en conformité est nécessaire. N’hésitez pas à vous adresser à eux : votre avocat, votre juriste, votre expert-comptable, votre prestataire informatique... Si vous utilisez des outils en ligne pour gérer votre fichier client, pensez à interroger les plateformes elles-mêmes pour vous assurer qu’elles ont entrepris une démarche de mise en conformité.
Evaluez votre risque
MMA vous propose un diagnostic en ligne: 4 minutes pour évaluer quels aspects de votre activité peuvent être concernés par le RGPD.
En savoir plus
Frédéric Sauvage | Licence etalab-2.0