TPE PME : comment gérer les données personnelles, conformément au RGPD ?
Dossier | Publié le 23 mars 2021 | Mis à jour le 17 octobre 2024
Le Règlement général sur la protection des données (RGPD) a renforcé les droits des personnes sur leurs données personnelles : droit d’information, de rectification, d’effacement, d’accès, de portabilité et en consacré de nouveaux tels que les droits à la limitation du traitement, le droit de ne pas faire l’objet d’une décision individuelle automatisée, y compris le profilage, le droit à la portabilité. Quels sont ces droits ? Comment les faire respecter ? Quelques éléments de réponses.
A noter : les textes juridiques ont pu faire l’objet de modifications postérieurement à la publication de cet article [mis à jour le 1er décembre 2022]. C’est pourquoi, nous vous conseillons de regarder la date de la publication et de vérifier si les informations qui figurent dans l’article sont toujours d’actualité.
Pourquoi l’entreprise doit-elle se mettre en conformité avec le RGPD ?
Le Règlement européen sur la protection des données personnelles (RGPD) s’applique depuis 2018 à l’ensemble des entreprises, quelle que soit leur taille, dès lors qu’elles « traitent » (collectent, enregistrent, conservent...) des données personnelles.
Néanmoins, les obligations sont généralement moindres pour les plus petites entreprises, sous réserve que les traitements de données mis en œuvre ne constituent pas un volet de leur activité.
Le RGPD s’applique indépendamment du mode de traitement mis en œuvre (fichier tenu manuellement ou automatisé). Tout dépend de la façon dont les données sont traitées et des objectifs poursuivis.
Le RGPD concerne notamment la relation de l’entreprise :
- avec ses salariés et candidats à l’embauche (ex : données RH, badgeage...) ;
- avec ses clients et prospects (ex : coordonnées, préférences, historiques d’achats, cartes de fidélité...) ;
- avec ses sous-traitants et fournisseurs (exemple : hébergeur, éditeur de logiciel...).
Quels sont les avantages du RGPD pour votre entreprise ?
Au-delà de la contrainte juridique, le RGPD constitue une opportunité pour votre entreprise sur le plan économique. Mieux gérer les données personnelles est une démarche vertueuse qui contribue, selon une étude de la Cnil, à :
- améliorer la perception de l'entreprise vis-à-vis des tiers (clients , fournisseurs et partenaires) : la conformité est un argument commercial ;
- améliorer l'expérience client et la confiance des clients : amélioration globale de l’expérience client avec à la clef moins de réclamations ;
- favoriser un meilleur ciblage du marketing et de la communication et du marketing en direction des clients (et donc une plus grande efficacité) ;
- renforcer la sécurité des systèmes d’information par la prise en compte de la sécurité des données personnelles ;
- améliorer la gestion des processus métiers, la conception des solutions numériques,
- favoriser le numérique durable par une réduction de la masse des données traitées ;
C'est pourquoi, la conformité RGPD est aussi une opportunité de communiquer vers l’extérieur (clients, partenaires, écosystème) pour valoriser son entreprise.
Les 6 étapes pour respecter les droits des utilisateurs issus du RGPD ?
Afin de respecter les droits des utilisateurs, l’entreprise doit suivre une procédure bien précise prévue par le RGPD. De manière générale, l’entreprise devra :
1 - Prévoir l’exercice des droits des utilisateurs dans son organisation interne
L’entreprise doit être en mesure de répondre techniquement aux demandes des utilisateurs dans les meilleurs délais (pouvoir envoyer des listes de données, retrouver les données pointées par l’utilisateur s’il demande à les rectifier ou effacer…). Pour cela, elle doit avant même de commencer les traitements de données construire un registre des traitements.
Le registre des traitements doit permettre d’identifier avec précision :
- les parties prenantes intervenant dans le traitement des données ;
- les catégories de données traitées ;
- à quoi servent ces données ;
- qui y accède et à qui elles sont communiquées ;
- combien de temps elles sont conservées ;
- comment elles sont sécurisées.
L’obligation de ternir un registre des traitements concerne tous les organismes, publics comme privés, et quelle que soit leur taille, dès lors qu’ils traitent des données personnelles.
Les entreprises de moins de 250 salariés bénéficient toutefois de quelques dérogations. La tenue de registre de traitements, bien qu’obligatoire, est plus légère et moins exigeante et porte en particulier sur les traitements suivants :
- les traitements occasionnels (gestion des clients, gestion de la paie, …) ;
- les traitements susceptibles de comporter un risque pour les droits et libertés des personnes (géolocalisation, vidéosurveillance …) ;
- les traitements portant sur les données sensibles (données de santé, infractions…).
La mise en place d’un registre constitue aussi un outil d’aide à la gestion des données. Bien géré, c’est un outil d’aide à la décision qui participe à la valorisation de l’entreprise.
Dans tous les cas, la mise en place d’un registre des traitements de données, en amont de la conception de vos outils, est essentielle. L’intégration des fonctionnalités prévues par le RGPD au cahier des charges de votre futur outil garantira le respect des droits des utilisateurs (et de la loi !) et vous prémunira de difficultés a posteriori.
Pour en savoir plus :
2 - Désigner la personne responsable de la gestion des demandes relatives aux données personnelles sur le site de l’entreprise
Certains cas d’utilisations de données personnelles (Cnil.fr) exigent d’indiquer les coordonnées du Délégué à la protection des données (DPO) que vous aurez dû désigner.
Dans d’autres cas il s’agit du responsable de traitement, c’est-à-dire de la personne que vous désignez comme responsable de la gestion des affaires en rapport avec les données personnelles.
Pour en savoir plus :
3 - Indiquer les coordonnées de la personne responsable de façon claire et accessible à tous les utilisateurs
Ces informations doivent figurer dans l’onglet « mentions légales » ou « politique de confidentialité ». Cette exigence fait partie de l’obligation d’information que vous devez respecter vis-à-vis des utilisateurs.
Pour en savoir plus :
4 - Donner la possibilité à l’utilisateur de déposer simplement sa demande d’exercice d’un ou de plusieurs de ses droits sur ses données
L’entreprise peut prévoir sur son site un formulaire de demande ou donner une adresse postale. Généralement, les entreprises créent une adresse mail spécifique à toute demande portant sur les données personnelles.
Dans le cas du droit de la portabilité des données, si le site internet est doté d’un espace client, il est préférable de créer un bouton de téléchargement de ces données.
5 - L’entreprise doit satisfaire à la demande de l’utilisateur
La réponse à l’utilisateur doit être faite dans les meilleurs délais. Quel que soit le délai applicable au cas d’espèce, il est primordial de tenir informée la personne concernée des démarches mises en œuvre et ce, dans un délai d’un mois maximum. Quant au délai de traitement et de réponse, l’entreprise dispose :
- d’un mois maximum si la demande est simple ;
- de 8 jours maximum si la demande est particulière (santé) ;
- de 3 mois maximum si la demande est complexe.
Le terme « réponse » se comprend à la fois comme la réponse faite à l’utilisateur mais également la satisfaction de sa demande par des actes qui varient selon le droit exercé (envoie des données demandées, suppression ou rectification de données…).
A noter : par principe aucun paiement ne peut être exigé pour répondre aux demandes des utilisateurs qui veulent exercer leurs droits. Par exception, il est possible de demander des « frais raisonnables basés sur les coûts administratifs supportés » si les demandes sont excessives ou infondées notamment par leur
caractère répétitif. Il conviendra toutefois de justifier cette décision.
6 - S’il y a un retard dans la réponse, il est nécessaire d’informer la personne concernée
Un utilisateur qui n’obtient pas de réponse ou une réponse incomplète peut déposer une plainte à la CNIL. Toutefois, l’entreprise peut également refuser de donner suite à la demande dans des conditions précises et doit les indiquer à l’utilisateur.
C’est pourquoi, il est important de garder une trace matérielle de ces échanges avec les utilisateurs. En cas de contentieux ou contrôle de la CNIL, l’entreprise qui traite des données personnelles pourrait être dans l’obligation de prouver qu’elle a effectivement répondu aux demandes adressées.
Connaître la base légale du traitement de données personnelles
A noter que les droits des utilisateurs varient selon la base légale de traitement des données. Il faut donc distinguer les différents traitements de données que vous effectuez selon leur base légale.
Le consentement
Dans la plupart des cas, le traitement de données personnelles aura pour fondement le consentement des utilisateurs. Il s’agit par exemple des cas où vous récoltez des données via des cookies sur l’identité des utilisateurs ou sur leurs préférences, afin de mieux connaître vos potentiels clients ou dans le cas de prospections commerciales. Dans tous les cas, le consentement de l’utilisateur doit être libre, spécifique, éclairé, équivoque et conforme au RGPD.
A noter que dans le cas où le traitement a pour fondement le consentement de l’utilisateur, ce dernier doit être en mesure de pouvoir le retirer à tout moment et de manière simple. Il est donc nécessaire de l’en informer au préalable et de lui donner la possibilité de le faire.
Par exemple, si un utilisateur donne son consentement pour l’utilisation de cookies de personnalisation, il peut retirer ce consentement. L’entreprise devra cesser les activités de traitement en question et supprimer les données collectées, si leur traitement n’est pas justifié par une autre base légale.
Des relations entre entreprises (B2B) affranchies du consentement explicite
S’il est nécessaire d’obtenir le consentement des particuliers pour avoir le droit de leur envoyer des emails commerciaux, cela n’est pas le cas dans les relations BtoB.
À l’inverse, le consentement est implicite : vous pouvez utiliser votre fichier prospects et clients pour envoyer des emails commerciaux sans autorisation du destinataire.
Il vous faut cependant l’informer de l’usage commercial qui sera fait de ses coordonnées et de la durée de conservation des données que vous avez collectées à son sujet (réponses données à un formulaire, par exemple).
En savoir plus :
RGPD en pratique : maîtrisez votre relation client
Démarchage B2B et RGPD : fiche pratique pour être en conformité
Comment rendre le fichier client conforme au RGPD ? Mode d’emploi
Le contrat
Il est également possible que votre traitement soit nécessaire à l’exécution ou à la préparation d’un contrat. Dans ce cas, la personne dont vous traitez les données est votre cocontractant.
C’est par exemple le cas si vous êtes une entreprise de e-commerce. Un client procède à des achats en ligne, paie par carte bancaire et souhaite se faire livrer les produits qu’il a achetés. Vous recevez donc des données personnelles relatives à son identité, son adresse de livraison, mais aussi des données bancaires et des informations sur ses achats. Le traitement de ces données vise uniquement l’exécution du contrat de vente conclu avec la personne concernée et a pour base légale le contrat.
Les autres bases légales
Dans d’autres cas, la base légale d’un traitement peut également être : l’obligation légale, la mission d’intérêt public, l’intérêt légitime ou encore la sauvegarde des intérêts vitaux.
Pour plus d’informations, vous pouvez consulter les ressources de la CNIL :
- Comprendre le RGPD - Les bases légales
- Conformité RGPD : comment recueillir le consentement des personnes
- Prendre en compte les bases légales dans l’implémentation technique
- La licéité du traitement : l’essentiel sur les bases légales prévues par le RGPD
- Les droits pour maîtriser vos données personnelles !
Respecter les règles spécifiques relatives à chacun des droits des utilisateurs
Voici quelques règles spécifiques relatives à chacun des droits des utilisateurs :
Droit d’information
Les utilisateurs doivent recevoir un certain nombre d’informations. Ces informations doivent être accessibles et font parties des mentions légales qui sont obligatoirement présentes sur votre site internet. Les informations doivent également être concises et lisibles afin qu’elles puissent être comprises par tous.
Le site internet doit fournir l’ensemble des informations relatives au traitement des données personnelles :
- les données collectées ;
- la base légale ;
- les finalités de la collecte ;
- l’existence ou non de transferts de données ;
- les destinataires des données.
L’utilisateur doit être correctement informé des droits qu’il a sur ses données. Comme expliqué ci-dessus, l’entreprise doit lui permettre d’exercer ces droits en désignant la personne qui s’occupe des demandes liées à la protection des données (généralement le responsable de traitement ou le DPO de l’entreprise) et en indiquant la manière dont il est possible de la contacter.
Pour en savoir plus :
Droit d’accès aux données
Le droit d’accès est le droit de l’utilisateur de demander à l’entreprise de lui faire communication, dans un format compréhensible, de l’ensemble des données qu’elle a collecté sur lui.
Exercer ce droit permet à l’utilisateur de savoir quelles données personnelles sont traitées par l’entreprise, de quelle manière, et d’en contrôler l’exactitude. Si besoin, il pourra les rectifier ou demander à ce que l’entreprise les efface.
Les données concernées
Lorsqu’une demande de droit d’accès est formulée, l’entreprise envoie les données personnelles de la personne qui les demande, ainsi que les informations suivantes :
- les finalités du traitement ;
- les catégories de données concernées ;
- les destinataires ou catégories de destinataires des données ;
- la durée de conservation des données, lorsque cela est possible ;
- l’existence du droit de demander au responsable du traitement la rectification ou l’effacement des données, mais aussi une limitation ou l’opposition au traitement ;
- la possibilité d’introduire une réclamation auprès d’une autorité de contrôle ;
- l’existence ou non d’une prise de décision automatisée (profilage) ;
- l’existence ou non d’un transfert hors UE et les garanties apportées.
Pour plus d’informations :
- Article 15 du Règlement général sur la protection des données (Cnil.fr)
- Le droit d'accès : connaître les données qu’un organisme détient sur vous (Cnil.fr)
Droit de rectification
Un utilisateur peut demander la rectification des informations inexactes ou incomplètes.
Cette demande de rectification peut intervenir par exemple quand l’utilisateur se rend compte d’une erreur lorsqu’il a transmis ses données à l’entreprise, ou à la suite de l’exercice de son droit d’accès.
Le responsable de traitement doit notifier à chaque destinataire auquel les données personnelles ont été communiquées toute rectification des données.
Pour plus d’informations :
- Article 16 du RGPD (Cnil.fr)
- Article 19 du RGPD (Cnil.fr)
- Le droit de rectification : corriger vos informations (Cnil.fr)
Droit de portabilité
Le droit de la portabilité est le droit des utilisateurs de récupérer une partie de ses données dans un format lisible par une machine, et de les réutiliser à d’autres fins.
La portabilité permet aux utilisateurs de réutiliser des données qu’ils ont déjà fournis à un opérateur/ une entreprise généralement pour les transmettre à un autre organisme. Cela lui évite de redonner toutes les informations à nouveau. L’utilisateur peut également demander ces données pour un usage strictement personnel.
Quelles données sont concernées ?
L’exercice de ce droit porte uniquement sur les données dont la base légale est le consentement ou le contrat. Il peut s’agir des données qu’un utilisateur a transmis (coordonnées…), mais également des données issues de son activité (historique d’achat, préférences et personnalisation de services…).
En revanche, la portabilité ne s’applique pas aux données dont le traitement se fonde sur une autre base légale.
Quel format de données ?
Les données doivent être fournies dans un format « structuré, couramment utilisé et lisible par une machine ». Donc, il s’agit d’un format lisible, de préférence ouvert et interopérable (qui peut être lu par un autre système). Il s’agit par exemple des formats JSON (.json) ou CSV (.csv).
Pour plus d’informations :
- Le droit à la portabilité : obtenir et réutiliser une copie de vos données (Cnil.fr)
- Article 20 RGPD (Cnil.fr)
Droit d’opposition au traitement de données
Le droit d’opposition permet aux personnes concernées de s’opposer à un traitement précis de données personnelles.
A noter : c’est un droit qui peut être difficile à exercer par les utilisateurs car il ne s’applique pas à toutes les données personnelles collectées par l’entreprise et doit être justifié par des raisons « tenant à sa situation particulière », sauf lorsque celui-ci porte sur de la prospection commerciale.
Quelles données sont concernées ?
Le droit d’opposition ne peut pas être exercé pour tous les traitements de données personnelles. La demande d’opposition concerne généralement la prospection commerciale.
Dans les cas où les données collectées ont pour base légale consentement, l’utilisateur doit retirer son consentement pour le traitement en cause et non s’opposer au traitement des données.
Vous pouvez refuser une demande d’opposition dans les situations suivantes :
- les données collectées ont pour base légale un contrat. L’utilisateur devra attendre la rupture du contrat qui est à l’origine du traitement de ses données personnelles ;
- il existe des motifs légitimes et impérieux à traiter ces données (intérêt légitime) ;
- le traitement a pour fondement une mission d’intérêt public, une obligation légale ou la sauvegarde des intérêts vitaux.
Pour plus d’informations :
Droit à la limitation du traitement
Les utilisateurs peuvent demander de geler temporairement l’utilisation de certaines données personnelles. L’exercice de ce droit peut s’avérer particulièrement utile lorsque l’utilisateur conteste l’exactitude des données ou s’oppose au traitement.
Dans ce cas, il peut demander de geler temporairement l’utilisation des données, dans l’attente d’une réponse à sa demande. Donc, l’entreprise pourra conserver ces données mais ne pourra pas réaliser de traitements sur ces données gelées.
Les limites du droit de limitation de traitement
Les données gelées peuvent toutefois être utilisées dans les situations suivantes :
- l’utilisateur a donné son consentement au traitement. Dans ce cas, il doit retirer son consentement et non pas demander la limitation du traitement
- pour la constatation, l’exercice ou la défense de droits en justice ;
- pour la protection des droits d’une personne physique ou morale ;
- pour des motifs importants d’intérêt public de l’Union ou d’un Etat membre.
Pour plus d’informations :
- Le droit à la limitation du traitement : geler l’utilisation de vos données (Cnil.fr)
- Article 18 du RGPD (Cnil.fr)
Droit d’effacement des données
Il s’agit du droit d’un utilisateur à demander l’effacement de données qui le concernent. Il peut l'exercer lorsque :
- ses données sont utilisées à des fins de prospection commerciale ;
- ses données ne sont plus nécessaires au regard des objectifs pour lesquelles elles ont été initialement collectées ou traitées ;
- l’utilisateur retire son consentement dans le cas où le base légale est le consentement ;
- l’utilisateur considère que les données font l’objet d’un traitement illicite ou elles ont été collectées alors qu’il était mineur ;
- les données doivent être effacées pour respecter une obligation légale ;
- l’utilisateur s’est opposé au traitement des données et qu’il a pu exercer cette demande.
Limites au droit à l’effacement
Vous pouvez écarter le droit à l’effacement lorsqu’il va à l’encontre de :
- l’exercice du droit à la liberté d’expression et d’information ;
- du respect d’une obligation légale ;
- de l’utilisation de vos données s’il y a intérêt public à conserver les données (par exemple dans le domaine de santé) ;
- de leur utilisation à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques ;
- de la constatation, de l’exercice ou de la défense de droits en justice.
Pour plus d’informations :
Des questions ? Consultez la Foire aux questions (FAQ) de la CNIL
L'autorité répond aux questions les plus posées et propose des conseils pratiques pour assurer une bonne conformité :
Le RGPD s’applique-t-il à toutes les entreprises ?
Comment la CNIL accompagne-t-elle les entreprises ?
Le RGPD s’applique-t-il également aux fichiers papier ?
Le registre de traitements est-il indispensable ?
Comment assurer le respect des droits des personnes ?
Un sous-traitant doit-il également respecter le RGPD et la loi ?
Comment savoir quelles mesures de sécurité prendre ?
Les entreprises sont-elles informées à l’avance d’un contrôle ?
Que se passe-t-il après un contrôle ?
Est-il possible de traiter des données sensibles ?
Appliquer le RGPD dans une TPE ou PME : les questions/réponses de la CNIL (cnil.fr)
Être conforme au RGPD : diagnostics et accompagnements
Respecter la vie privée, par où commencer ? La check-list pour les TPE / PME
Pour savoir où vous en êtes en matière de respect des données personnelles, complétez cette check-list de 4 pages, créée spécialement pour les TPE / PME.
Évaluer sa conformité au RGPD
Un certain nombre de diagnostics en ligne existent pour vous aider à identifier d'éventuels problèmes de conformité au RGPD :
- EvalRGPD : Evaluez la conformité RGPD de votre entreprise
- Autodiagnostic RGPD : votre TPE-PME est-elle en conformité ?
Passer à l'action
La Cnil fait le point sur les 4 actions principales à mener pour entamer et maintenir sa mise en conformité avec les règles de protection des données :
Être accompagné
Le Conseil nationale des Barreaux, propose un annuaire qui permet de trouver un avocat spécialisé dans le domaine de la protection des données.
Votre Chambre de Commerce et d’industrie (CCI) ou votre Chambre de métiers et de l’artisanat (CMA) sont des interlocuteurs pertinents. Vous pouvez consulter l’annuaire des conseillers locaux des CCI (cci.fr) ou consulter l’annuaire des conseillers locaux des CMA.
France Num propose sur son site, un annuaire d'experts du numérique publics et privés, les Activateurs France Num qui peuvent vous accompagner. Un certain nombre d'entre eux sont spécialisés en gestion des données personnelles.
Elisa Sobczyk | Licence etalab-2.0
Dans la même thématique
Comment bien gérer les données personnelles peut contribuer au développement du chiffre d’affaires de votre entreprise ?
Se mettre en conformité avec le Règlement Général sur la Protection des Données (RGPD), ce n’est pas...
Fiche pratique | 28 octobre 2024
Comment Filt, entreprise de fabrication de textile, valorise et protège ses données
Filt, entreprise de fabrication textile à Mondeville (Calvados) sécurise des données, les valorise e...
Témoignage | 17 janvier 2023
Modèle de registre simplifié RGPD par la CNIL
Afin d’accompagner les entreprises (dont les TPE PME) dans leur mise en conformité, la CNIL met à di...
Fiche pratique | 10 juillet 2023