Ce que le RGPD signifie pour les petites entreprises
Depuis le 25 mai 2018, les entreprises qui traitent des données personnelles rgpd relatives à des personnes concernées dans l’Union européenne (UE) sont soumises au règlement général sur la protection des données (RGPD), indépendamment de leur taille ou de leur localisation. Il est probable que la plupart des petites entreprises qui gèrent une base de données de clients, d’employés et/ou de contacts commerciaux devront se conformer au RPD. Le traitement des données à caractère personnel désigne essentiellement toute opération effectuée sur des données à caractère personnel (stockage, partage, suppression, collecte, modification sont quelques exemples de traitement des données).
Alors, que signifie RGPD pour les petites entreprises ? Pratiquement la même chose que pour les grandes entreprises et organisations. Si votre entreprise traite des données personnelles ou des informations personnellement identifiables (PII) aux Etats-Unis, c’est-à-dire des données qui peuvent être utilisées pour identifier des individus spécifiques, l’entreprise est soumise aux règles de RGPD – même lorsque les données sont gérées manuellement sur un format papier structuré… En raison de l’importance des sanctions potentielles en cas de violation des règles RGPD, l’option la plus sûre est de supposer que la conformité aux règles RGPD s’appliquera, sauf si votre entreprise n’est pas basée dans l’UE et ne vend pas ou ne prévoit pas de vendre aux personnes concernées dans l’UE.
Quelques définitions
Un « responsable du traitement » au sens du RGPD est l’organisation ou l’entreprise qui détermine les finalités du traitement des données personnelles lorsqu’un « sous-traitant » effectue le traitement des données personnelles au nom du « responsable du traitement ». Un « sous-traitant » peut en outre faire appel à des « sous-traitants secondaires » et le « responsable du traitement » dispose de droits de visibilité et d’approbation sur ces « sous-traitants secondaires ».
La RGPD ne fait pas référence aux personnes concernées ou aux clients ; le langage le plus utilisé dans la RGPD est celui de « personne physique » ou de « personne concernée » et les « données à caractère personnel » désignent toute information relative à une personne physique identifiée ou identifiable (« personne concernée »). Aux fins du présent article, les personnes concernées ou les clients finaux ou les clients seront désignés par le terme « personnes concernées ».
Le « traitement » signifie toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données à caractère personnel ou à des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que la limitation, l’effacement ou la destruction ;
L’article 4 du RGPD contient une liste complète de définitions.
Quel est l’objectif de la RGPD?
Pour mieux comprendre ce que signifie la RGPD pour les petites entreprises, un bon point de départ est de comprendre les objectifs du règlement. Le RGPD est un règlement exécutoire conçu pour protéger la vie privée des personnes concernées de l’UE et leur donner plus de contrôle sur le traitement de leurs données personnelles, sur le type de données personnelles collectées, sur la manière dont elles sont utilisées, sur les personnes avec lesquelles elles sont partagées et sur la durée de leur conservation. Le RGPD donne aux personnes concernées des droits plus étendus et impose des obligations plus importantes aux entreprises ou organisations qui traitent les données personnelles des personnes concernées. Parmi les moyens par lesquels le RGPD atteint son objectif, on peut citer :
- Stipuler qu’une entreprise ne peut collecter des données personnelles que s’il existe une raison légale « base légale » pour le faire.
- Stipuler que lorsque des données personnelles sont initialement traitées, c’est-à-dire collectées par une entreprise, celle-ci doit indiquer clairement à quelles fins elles seront utilisées, ce qui est généralement fait par le biais d’une politique de confidentialité ou d’un avis de confidentialité.
- Stipuler que lorsque le consentement est la base juridique, les personnes concernées doivent donner leur consentement libre, spécifique, informé et non ambigu pour que leurs données personnelles soient traitées. Les personnes concernées doivent pouvoir retirer leur consentement aussi facilement qu’il a été donné.
- Stipuler que les personnes concernées ont le droit de demander que leurs données personnelles soient supprimées. La suppression de leurs données personnelles n’est pas un droit absolu lorsque l’entreprise a l’obligation légale de conserver les données, elle le ferait en minimisant les risques dans la mesure du possible.
- Stipuler que les personnes concernées peuvent demander une copie numérique de leurs données personnelles pour les donner à une autre entreprise dans un format lisible par une machine, c’est l’un des nombreux droits de la personne concernée ou de l’individu en matière de données. L’ensemble des droits des personnes concernées sont couverts par les articles 12 à 22 du RGPD.Ces articles stipulent que les organisations doivent mettre en œuvre des mesures techniques et organisationnelles appropriées pour assurer la sécurité des données à caractère personnel.
- Stipuler que les violations de données doivent être signalées à l’autorité compétente dans les 72 heures lorsqu’il existe un risque pour les droits et libertés des personnes concernées.
- Stipuler que les principes de la RGPD doivent être appliqués au traitement des données personnelles et que l’entreprise doit être responsable et tenir des registres pour démontrer sa conformité.
- Stipuler que l’entreprise ou l’organisation doit avoir comme principe fondamental le respect de la vie privée par défaut et par conception.
La sécurisation des données peut être le plus grand casse-tête pour de nombreuses entreprises. Il existe de nombreux types de menaces internes et externes à la sécurité des données – et pas seulement de la part d’acteurs malveillants. De véritables erreurs, telles que l’envoi d’un courriel à la mauvaise personne, le fait de ne pas chiffrer un seau de stockage dans le nuage ou de laisser une clé USB non chiffrée par accident dans un bus, peuvent entraîner l’accès à des données sans autorisation ; et, une fois qu’une violation de données s’est produite, on ne sait pas comment les données seront utilisées.
Les pénalités pour le non-respect du RGPD
On a beaucoup écrit sur le fait que le non-respect de la RGPD pourrait coûter aux entreprises jusqu’à 20 millions d’euros, soit 4 % de leur chiffre d’affaires global, mais ces chiffres élevés ne seront appliqués que dans des circonstances extrêmes. Bien que les autorités européennes puissent imposer des amendes sur une base discrétionnaire, la plupart ont déclaré qu’elles utiliseraient d’autres « pouvoirs correctifs et sanctions » pour encourager les entreprises à mieux se conformer à la RGPD.
Parmi les autres « pouvoirs correctifs et sanctions » figurent l’émission d’un avertissement, l’interdiction de traitement des données, l’ordre de rectification ou de suppression des données et la suspension des transferts de données vers des pays tiers. Des sanctions plus sévères seront imposées en cas de non-respect des règles de collecte de données relatives aux enfants, de traitement ou de partage de données sans obtenir le consentement de l’intéressé, et de conservation de données au-delà de leur finalité légale.
Il est important de noter qu’il n’est pas nécessaire qu’il y ait une violation de données pour qu’une entreprise ne soit pas conforme à la RGPD. Toute action ou absence d’action non conforme peut entraîner une sanction. Pour cette raison, les petites entreprises doivent être conscientes des exigences du RGPD – une attention particulière étant accordée aux « données de catégorie spéciale » couvertes par l’article 9 du RGPD.
Quelles sont les données de catégorie spéciale couvertes par l’article 9 ?
Les données de catégorie spéciale sont des données personnelles qui, selon le RGPD, sont plus sensibles et pourraient exposer une personne à un risque de discrimination illégale si elles sont utilisées de manière abusive ou divulguées sans autorisation. Par conséquent, lors du traitement de ces données de catégorie spéciale, les entreprises peuvent avoir besoin d’une base juridique distincte, par exemple lorsque le consentement est la base juridique ; le consentement explicite doit être donné par la personne concernée. Le consentement explicite peut être, par exemple, un formulaire signé, une norme de consentement plus élevée. La catégorie spéciale de données couverte par l’article 9 du RGPD comprend toutes les données à caractère personnel relatives à :
- la race;
- l’origine ethnique;
- l’appartenance politique;
- la religion;
- l’adhésion à un syndicat;
- la génétique;
- la biométrie (lorsqu’elle est utilisée à des fins d’identification);
- la santé;
- l’orientation sexuelle.
Les données relatives aux infractions pénales sont soumises aux mêmes contrôles que les données de catégorie spéciale, les entreprises ne peuvent tenir un « registre complet des condamnations pénales » que si elles ont des motifs légitimes et des protections conformes à la RGPD en place. Dans certains cas, la vérification des antécédents relatifs aux infractions pénales peut être obligatoire, par exemple pour les adultes travaillant avec des enfants.
Comment se conformer au RGPD pour les petites entreprises ?
Les considérations suivantes peuvent fournir une indication des tâches les plus importantes qui seront nécessaires pour que les entreprises américaines soient conformes au RGPD:
Audit de vos données
L’audit des données détenues par votre entreprise ne sera pas une tâche triviale, mais il vous permettra de prendre de nombreuses décisions éclairées sur la manière de vous conformer au RGPD.
Parmi les questions clés auxquelles il faut répondre figurent la localisation de vos données, la raison pour laquelle certains types de données à caractère personnel sont traités, la base juridique du traitement, la durée de conservation des données, les personnes qui ont actuellement accès aux données à caractère personnel et celles qui devraient y avoir accès à l’avenir, les contrôles techniques et organisationnels appropriés en place et le degré de duplication des données à caractère personnel des clients sur plusieurs sites.
Tous ces domaines doivent être abordés avant que vous puissiez décider de la meilleure ligne de conduite à adopter pour votre entreprise. Cette première étape de la création d’une vue d’ensemble de l’endroit où se trouvent les différents types de données de vos clients est essentielle. Si vous ne savez pas quelles données personnelles vous détenez, vous ne pouvez pas faire de plan autour de ces données.
Les entreprises peuvent être amenées à réaliser des études d’impact sur la protection des données avant le début d’un nouveau traitement afin de garantir la protection des données par défaut et par conception, un concept clé du RGPD, et d’examiner les risques éventuels pour les personnes concernées autour de tout nouveau traitement de données. La plupart des commissaires européens à la protection des données donnent des conseils sur leur site web concernant les EPDV et le moment où elles doivent être réalisées.
Audit de vos prestataires de services
L’audit de conformité de votre prestataire de services est une tâche qui peut s’avérer difficile pour de nombreuses entreprises américaines et c’est peut-être là que réside le risque le plus important pour votre entreprise. Vous devrez revoir vos accords avec les prestataires de services tiers qui traitent des données à caractère personnel en votre nom et signer des accords de traitement des données. Le responsable du traitement des données est tenu de signer des contrats dans le cadre de la RGPD, et le sous-traitant ne peut agir que sur les instructions du responsable du traitement.
Si l’un de vos fournisseurs de services de données n’est pas en mesure de prouver qu’il est du bon côté de la conformité de RGPD pour les entreprises américaines, alors le travail qu’il effectue en rapport avec les données personnelles de vos personnes concernées dans l’UE pourrait être considéré comme non conforme et mettre le responsable du traitement en danger.
Le droit d’être oublié et les autres droits des personnes concernées
Le RGPD introduit deux droits supplémentaires pour les personnes dans l’UE qui sont couvertes par le règlement ; le droit d’être oublié (effacement) et le droit à la portabilité de leurs données. Les droits des personnes concernées sont étendus dans le cadre du RGPD, régi par les articles 15 à 22 du RGPD. Ces droits comprennent également le droit d’accès pour recevoir une copie de leurs données personnelles, le droit de rectification et de limitation du traitement et le droit d’opposition au traitement, y compris au traitement automatisé et au profilage.
Ces droits peuvent entraîner une augmentation significative des demandes des personnes concernées dans l’Union européenne et les entreprises et les organisations doivent s’assurer qu’elles sont correctement constituées et dotées en personnel pour les traiter.
Responsables du traitement et sous-traitants
Vous devrez comprendre si vous entrez dans la catégorie d’un processeur de données ou d’un contrôleur de données selon les nouvelles directives du RGPD: un sous-traitant de données est une entreprise qui traite des données personnelles pour le compte d’un responsable du traitement et un contrôleur de données est une entreprise qui détermine les objectifs et les moyens de traitement des données des clients. Les responsables du traitement et les sous-traitants ont des implications différentes quant à la manière dont ils se conforment aux directives RGPD pour les entreprises américaines, et votre entreprise peut être à la fois responsable du traitement et sous-traitant.
Pour compliquer encore plus les choses, un responsable du traitement peut avoir plusieurs processeurs de données et le processeur à son tour plusieurs sous-processeurs. En vertu du nouveau règlement, le responsable du traitement est responsable des actions des sous-traitants avec lesquels il travaille sur le marché. Il est essentiel que les entreprises américaines sélectionnent soigneusement leurs sous-traitants lorsque les données des personnes concernées dans l’UE sont traitées et signent des accords de traitement de données avec eux. Un accord de traitement de données devrait régir la relation entre un responsable du traitement et un sous-traitant et, à son tour, les sous-traitants secondaires. L’accord devrait inclure tous les aspects de la gouvernance de la protection des données et les articles 28 et 82 du RGPD détaillent ce que ces accords ou contrats devraient couvrir.
Pénalités et amendes du RGPD
Les nouvelles procédures d’application et les amendes associées au respect de la RGPD sont peut-être les aspects auxquels la plupart des dirigeants d’entreprises américaines prêtent une attention particulière.
Les lourdes amendes associées au non-respect de la RGPD pourraient atteindre des millions de dollars. Les entreprises qui ne se conforment pas à la loi se classeront dans l’une des deux catégories suivantes, la plus élevée pouvant coûter 20 millions d’euros ou 4 % du chiffre d’affaires annuel de l’entreprise, selon le montant le plus élevé. En dehors de toute sanction financière, les autorités de réglementation de la protection des données ont le pouvoir d’ordonner à une entreprise de cesser le traitement.
Atteinte à la réputation
Il est fort probable que les premières entreprises à être sanctionnées pour non-conformité recevront une attention importante. L’atteinte à la réputation des entreprises qui ne se conforment pas à la nouvelle loi pourrait être plus coûteuse que les amendes du RGPD elles-mêmes.
Il est très possible que certains de vos concurrents se préparent à utiliser la conformité à la RGPD comme un avantage concurrentiel pour se positionner en tête sur le marché.
Êtes-vous prêt à subir le préjudice de réputation que le non-respect de la loi pourrait causer à votre entreprise ? Dans les mois et les années à venir, la protection des données pourrait devenir le nouveau terrain de jeu des spécialistes du marketing pour faire face à la concurrence et gagner de nouveaux clients, et votre entreprise devrait se préparer à cette bataille.
Délégué à la protection des données
Dans certains cas, les entreprises devront recruter un délégué à la protection des données (DPO). L’article 37 du RGPD énonce des lignes directrices lorsque le recours à un DPO est obligatoire et l’article 38 explique la position du DPO.
Le RGPD aura un impact sur presque toutes les équipes opérationnelles de votre entreprise. Se conformer à la nouvelle réglementation va demander beaucoup de travail, et la meilleure pratique consiste peut-être à centraliser tout le travail sous la responsabilité d’une seule personne plutôt que d’avoir plusieurs « chefs » de données au sein de votre entreprise. Si une personne est responsable, elle prend les choses en main et met les choses en marche pour assurer la conformité.
Pour une entreprise qui n’est pas établie dans l’UE mais qui traite régulièrement les données personnelles de personnes concernées de l’UE, il peut être nécessaire de nommer un représentant basé dans l’UE, afin de faciliter les contacts avec les autorités réglementaires de l’UE et les personnes concernées de l’UE.
Notification de violation de données
Si une violation de données se produit, votre entreprise doit signaler l’événement à l’autorité compétente en matière de protection des données dans les 72 heures suivant le moment où elle en a eu connaissance.
Chaque État membre de l’UE a sa propre autorité de protection des données qui sera chargée de mettre en œuvre les règles de la RGPD. Lorsque la violation des données présente un risque élevé pour la vie privée, un risque élevé pour les droits et libertés des personnes concernées (vos clients), ces clients doivent également être informés par votre entreprise.
Se préparer aux violations de données
Vous devrez revoir et mettre à jour les processus internes actuellement en place dans votre entreprise pour détecter, signaler et enquêter sur les violations de données lorsqu’elles se produisent, afin de pouvoir respecter le calendrier et les règles fixés par le RGPD et les autorités de contrôle.
Registre du traitement Base juridique et consentement
Vous devrez documenter le dossier de traitement tel que prévu à l’article 30 du RGPD et comprendre et documenter la base juridique appropriée pour le traitement des données à caractère personnel. La compréhension de votre base juridique doit faire partie de l’audit des données. Lorsque le consentement est la base juridique, par exemple pour les listes de marketing, une entreprise doit être en mesure de démontrer comment ce consentement a été obtenu. Le consentement doit être granulaire, spécifique, donné librement par une action affirmative non ambiguë et aussi facile à retirer qu’à donner.
Il existe une exception au paragraphe 5 de l’article 30 du RGPD qui peut s’appliquer aux petites entreprises lorsqu’il stipule qu’une entreprise ou une organisation employant moins de 250 personnes peut être exemptée de la tenue de registres en vertu de l’article 30. Cette exemption ne s’appliquerait que lorsque le traitement n’est pas occasionnel, n’est pas susceptible d’entraîner un risque pour les droits et libertés des personnes concernées ou n’implique pas de catégories particulières de personnes concernées ou de données pénales.
Vos employés
Bien qu’une grande partie du règlement RGPD se concentre sur la manière dont les entreprises s’occupent des données de leurs consommateurs, votre entreprise devra également appliquer les normes RGPD aux données relatives aux salariés.
Le personnel doit être informé des nouvelles règles, généralement par le biais d’une politique de confidentialité du personnel, et être formé de manière adéquate pour traiter les données des clients et les demandes connexes dans le cadre des nouvelles lignes directrices. Le département des ressources humaines devra également examiner les contrats du personnel, le stockage des données et d’autres aspects relatifs aux données des employés afin de s’assurer que les procédures internes de traitement des données sont également conformes aux normes RGPD.
Politique de conservation des données
Une politique de rétention des données est un élément clé de la RGPD et l’exigence de documentation et de responsabilité qui en découle signifie que la politique de rétention des organisations et des entreprises doit être documentée. Pour se conformer à la RGPD, il est logique que les organisations et les entreprises vérifient les données qu’elles détiennent, documentent une politique de conservation des données en tenant compte de leurs exigences légales et examinent régulièrement leur traitement et les données personnelles détenues conformément à leur politique de conservation. La RGPD impose une responsabilité supplémentaire, de sorte que l’organisation ou l’entreprise doit être en mesure de démontrer sa conformité.
Une fois que vous avez compris la RGPD, vous devez procéder à un audit des données que vous collectez auprès des sujets de l’UE, de la manière dont elles sont traitées et stockées (et du lieu où elles sont stockées si elles sont transférées en dehors de l’UE). Vous devez également examiner comment le consentement est obtenu pour collecter et traiter les données, et quelles mesures doivent être mises en place pour que les citoyens de l’UE puissent demander l’accès à leurs données pour les corriger, empêcher que des éléments de celles-ci soient traités ou demander leur suppression.
La prochaine étape pour les petites entreprises consiste à effectuer une évaluation des risques en matière de sécurité des données. Cette évaluation devrait révéler les vulnérabilités et les faiblesses de vos processus physiques, techniques et administratifs qui doivent être corrigées pour éviter une violation des données. Une fois que des politiques ont été créées pour combler les lacunes dans la sécurité de vos données, chaque employé de votre entreprise doit être informé des politiques et de l’importance d’opérer au sein de RGPD.
Enfin, vous devez également vérifier que chaque entreprise avec laquelle vous partagez des IIP est également conforme à la RGPD. Si vous collectez les données d’un sujet de l’UE et que ces données sont divulguées sans autorisation par une entreprise partenaire, vous pouvez toujours être tenu responsable de la violation des données. Bien que la violation ne soit pas de votre faute, les autorités de l’UE considéreront que vous n’avez pas fait preuve de la diligence requise à l’égard des entreprises avec lesquelles vous partagez des données.
Conclusion : Le respect du RGPD est important pour les petites entreprises
Le respect du RGPD est aussi important pour les petites entreprises que pour les grandes multinationales. Par conséquent, de nombreuses entreprises ont choisi de nommer un délégué à la protection des données (DPO) pour répondre aux exigences du RGPD ou de désigner une entreprise de conseil pour commencer à préparer le RGPD avant de déléguer ce rôle à un employé existant.
Des mesures d’exécution ont déjà été prises à l’encontre des entreprises non conformes, même si aucune violation de données n’a eu lieu. Dans l’une des premières actions répressives signalées, un petit groupe d’hôpitaux au Portugal a été condamné à une amende de 400 000 euros pour ne pas avoir mis en place des contrôles d’accès adéquats, tandis qu’une action ultérieure a été engagée contre une entreprise de marketing canadienne qui ciblait les utilisateurs de médias sociaux et traitait leurs IIP sans disposer d’une base juridique pour le faire, ni du consentement des utilisateurs
Un manque de connaissances n’est pas une excuse adéquate pour ne pas être conforme au RGPD. Toute entreprise, qu’elle soit individuelle ou multinationale, doit examiner la manière dont elle traite les données à caractère personnel, qu’elle soit responsable du traitement ou sous-traitant, et s’assurer que les processus et les politiques sont en place en matière de données à caractère personnel. Des mesures doivent également être mises en place pour faciliter les demandes d’accès aux données et des procédures doivent être mises en place pour identifier et signaler une violation de données si elle se produit. Il est également essentiel de mettre en place des mesures techniques et organisationnelles appropriées pour assurer la sécurité des données.
