Comment mettre en place le RGPD dans une PME ?

Le Règlement Général sur la Protection des Données (RGPD) est appliqué sur le territoire européen depuis 2018 par la CNIL. Le RGPD est un texte de loi visant à réglementer l’utilisation des données personnelles des citoyens, les petites et moyennes entreprises (PME) privées et publiques en France sont tenues de le respecter.

Vous venez de créer votre entreprise et vous souhaitez savoir comment effectuer la mise en conformité au niveau du RGPD ? Voyons ici les différentes démarches à suivre pour sécuriser les données de vos clients avec la mise en place du RGPD.

RGPD : histoire et définition

L’union européenne a décidé d’agir suite à la diffusion croissante des données personnelles en créant le texte RGPD, un cadre législatif visant à protéger les utilisateurs. Le Réglement Général de Protection des Données est alors entré en vigueur le 25 mai 2018 dans les 27 pays de l’UE. Depuis cette date, les TPE et PME sont tenues à être en conformité vis-à-vis du RGPD.

Le RGPD établit des règles en matière de collecte et utilisation de données personnelles, notamment pour les entreprises. Trois objectifs ont été établis en Europe :

• Responsabilisation des acteurs traitant les données
• Renforcement des droits des personnes quant à leurs données
• Crédibilisation de la régulation avec une approche unifiée de la protection

Les normes du Réglement Général de Protection des Données

Le consentement

Le premier objectif du RGPD est de renforcer les droits des utilisateurs quant à leurs données personnelles (sur internet et en physique). Il est alors indispensable d’obtenir le consentement de manière explicite de l’utilisateur pour utiliser ses données. Les personnes en accord avec cette collecte de données doivent être constamment informées. Il y a une demande d’accord, mais ce dernier peut être à tout moment retiré.

La transparence

Le consentement ne peut être éclairé et obtenu que si l’utilisateur est conscient de la façon dont ses données seront traitées. Les entreprises sont donc obligées de fournir les conditions d’utilisation claires des données de leurs clients (dès la phase de collecte).

La responsabilisation

L’Union Européenne reconnaît les entreprises comme responsables de la collecte et du traitement des données personnelles. Il y a donc une notion d’autonomie et d’auto-régulation favorisée par la CNIL, ce qui permet d’un autre côté d’alléger les formalités administratives.

La mise en conformité au RGPD

Le RGPD s’applique à toute structure : privée, publique, tous secteurs et de toute taille, dès lors qu’il y a collecte de données personnelles dans l’Union Européenne. Les PME sont donc directement concernées par le RGPD. Les chefs d’entreprise sont ainsi dans l’obligation d’assurer la conformité de leur structure.

Il faut dans un premier temps établir un registre du traitement des données : cela permet de recenser les informations personnelles en ayant une vue d’ensemble de leur utilisation. Les éléments du registre sont :

• Les traitements effectués,
• Les différents types de données exploitées,
• Les personnes les exploitant,
• Les conditions d’exécution du traitement
• La durée de conservation des informations personnelles.

Une fois le registre effectué, il faudra procéder au tri des données, le but étant de repérer celles qui sont utiles à l’activité de l’entreprise.

L’étape cruciale du RGPD est la sécurisation des données. Elle repose sur la confidentialité, le principe d’intégrité (pas de modification des données) et enfin la disponibilité (accès de l’utilisateur en cas de besoin). Il sera obligatoire de désigner le responsable RGPD que l’on nomme le DPO (délégué à la protection) dans l’entreprise ou un consultant indépendant.

Votre PME est donc dans l’obligation d’être conforme vis-à-vis du RGPD mis en place par la CNIL. Les données personnelles des utilisateurs doivent être protégées au maximum, cela est indispensable pour vous autant que pour eux. N’hésitez pas à vous faire aider par un professionnel.