Le 17 avril 2018, la Cnil a publié sur son site internet un guide de sensibilisation au RGPD, adapté aux TPE et PME (1).
A l’approche de l’entrée en application du règlement général sur la protection des données (RGPD) le 25 mai 2018 (2), la Cnil et Bpi France ont élaboré ce document afin de guider et sensibiliser les TPE et PME dans leur processus de mise en conformité.
En effet, à compter du 25 mai 2018, les entreprises devront être conformes aux exigences du RGPD. Cependant, en fonction de la taille de l’entreprise, les attentes du régulateur, la Cnil en France, ne sont pas les mêmes.
Le volume de données à caractère personnel, le nombre de personnes concernées et la qualité des données traitées par une petite ou moyenne entreprise est en effet sans commune mesure avec celui d’une multinationale.
Elles n’ont pas pour activité principale le traitement des données à caractère personnel, celles-ci peuvent alors se perdre dans la quantité de dispositions du RGPD, toutes ne leur étant pourtant pas destinées.
Pour Isabelle Falque-Perrotin, Présidente de la Cnil :
« Il faut en finir avec l’alarmisme sur le RGPD ! Avec ce guide, nous voulons montrer aux PME que se mettre en conformité c’est facile, en adoptant simplement de bons réflexes. A l’heure où les consommateurs sont de plus en plus soucieux de leurs données personnelles, proposer une relation de confiance à ses collaborateurs, clients, prospects, c’est aussi utile à l’entreprise.
Enfin, un couperet ne va pas tomber sur les entreprises le 26 mai. »
L’objectif étant de rassurer les TPE et PME en s’adressant directement à elles mais également de leur permettre de prendre le tournant de la digitalisation en les aidant à en maitriser les outils de protection des données personnelles de leurs clients et salariés par cette sensibilisation au RGPD.
Ce guide de sensibilisation au RGPD comprend :
- des fiches thématiques rappelant les grands principes du RGPD ;
- les avantages pour l’entreprise ;
- un plan d’action ;
- l’application au sous-traitant ;
- les bons réflexes à avoir ;
- des fiches pratiques.
Le rappel des principes du RGPD
Le guide revient sur la construction du RGPD afin de comprendre pourquoi ce texte était devenu nécessaire, notamment en raison de l’évolution des technologies et d’un besoin d’harmonisation européenne.
La définition de donnée à caractère personnel est expliquée avec des exemples concrets.
1. Organismes concernés
Les organismes concernés par le RGPD sont définis avec des exemples pratiques. Il est expliqué que toute organisation est concernée dès lors qu’elle est établie sur le territoire de l’Union européenne ou que son activité cible directement des résidents européens.
2. Données particulières
Le traitement des données à risque figure au chapitre 6 du guide. Il est expliqué aux TPE et PME les cas dans lesquels elles seraient concernées par un tel traitement et les mesures à prendre dans pareil cas, à savoir conduire une analyse d’impact sur la vie privée. Le « Dossier PIA » disponible sur le site de la Cnil permet de connaitre les cas dans lesquels une telle analyse est nécessaire et comment l’élaborer.
3. Transferts hors UE
De la même manière, en cas de transfert de données en dehors de l’Union européenne, le responsable du traitement doit prendre des précautions particulières. Le Guide renvoie au « Dossier transférer des données hors de l’UE » disponible sur le site de la Cnil pour en savoir plus.
4. Délégué à la protection des données
Dans certains cas, l’entreprise peut être conduite à désigner un DPD, délégué à la protection des données. En cas de traitement de données sensibles ou de traitement à grande échelle, cette désignation est obligatoire ; autrement elle est recommandée. Sur ce point, la Cnil a publié un « Dossier le délégué à la protection des données » disponible sur son site.
Les avantages pour les TPE/PME
L’entrée en application du RGPD présente des avantages pour ces entreprises, que ce guide de sensibilisation au RGPD met en avant.
1. Renforcer la confiance
Le respect des droits personnes concernées quant à leurs données permet de renforcer la confiance qu’elles portent à l’entreprise et de valoriser son image.
2. Améliorer l’efficacité commerciale
En tenant les fichiers de prospection à jour, cela permet à l’entreprise de gagner en efficacité et en productivité.
3. Mieux gérer son entreprise
La collecte des données réellement nécessaire à l’entreprise et au traitement, correspondant au principe de minimisation des données introduit par le RGPD, permet à l’entreprise d’optimiser ses investissements.
En ne collectant que les données dont l’entreprise a vraiment besoin, elle gagne en espace de stockage, permet le recours à des logiciels adaptés et aux moyens humains nécessaires à leur gestion.
En tenant à jour la liste de ces fichiers, cela permet à l’entreprise de faire le point sur les données collectées et d’identifier ses besoins réels.
4. Améliorer la sécurité des données de l’entreprise
La conservation et le traitement des données à caractère personnel doivent être protégés par l’entreprise, par des mesures de sécurité particulières.
Cette disposition est l’occasion pour l’entreprise d’améliorer sa sécurité afin de protéger son patrimoine informationnel et de continuer son développement sans risquer de perdre ou de compromettre les données qu’elle traite.
5. Rassurer les clients donneurs d’ordre et développer son activité
Le respect des dispositions du RGPD par l’entreprise lui permettra de se démarquer des autres entreprises et ainsi d’obtenir un avantage concurrentiel.
6. Créer de nouveaux services
En développant de nouveaux outils permettant de se conformer au RGPD, l’utilisateur pourrait accéder à de nouvelles fonctionnalités, ce qui pourra entrer en compte dans sa décision d’achat.
Ce guide de sensibilisation au RGPD démontre ainsi les aspects positifs des dispositions du RGPD pour les entreprises et la manière dont les TPE et les PME pourraient en tirer un profit.
Le plan d’action
La Cnil et Bpi France proposent quatre actions principales à mener pour entamer la mise en conformité au RGPD. Chaque action montre l’avantage que cela va procurer à l’entreprise et est accompagnée d’un exemple pratique.
1. Recenser ses fichiers
A cet effet, l’entreprise identifiera ses principales activités nécessitant la collecte et le traitement de données et les listera dans un registre d’activité. Pour faciliter la tenue de ce registre, la Cnil renvoie au modèle proposé sur son site.
2. Faire le tri dans les données
Pour cela il est conseillé aux entreprises de ne traiter que les données nécessaires à ses activités, de contrôler les destinataires et le temps de conservation des données. Une vigilance particulière doit être portée aux données particulières.
3. Respecter le droit des personnes
Des mentions d’information doivent être portées à la connaissance des personnes concernées. Celles-ci doivent être informées que leurs données font l’objet d’un traitement, pour quelles finalités, sur quels fondements, quels en sont les destinataires, leur durée de conservation, la possibilité d’exercer leurs droits et l’existence d’un transfert en dehors de l’Union européenne. Afin d’aider les TPE et PME à remplir cette exigence, des exemples de mentions d’informations sont proposés sur le site de la Cnil.
Il convient également de permettre aux personnes concernées d’exercer effectivement leurs droits, à savoir : droit d’accès, de rectification, d’opposition, d’effacement, droit à la portabilité et à la limitation de traitement. Il est recommandé aux entreprises de mettre en place un processus interne pour le traitement des demandes.
4. Sécuriser les données
Les organismes doivent prendre les mesures nécessaires afin de garantir la sécurité des données. Différentes actions sont proposées et des « bonnes pratiques » sont mises en avant. En cas de violation des données, l’entreprise doit le signaler à la Cnil et, dans certains cas, à la personne concernée.
Pour aller plus loin sur ce point capital, le guide renvoie au « Guide des bonnes pratiques de l’informatique » réalisé par l’ANSSI et la CPME ainsi qu’au « Guide sécurité des données personnelles » disponible sur le site de la Cnil.
La sous-traitance
Le guide consacre un chapitre à la sous-traitance, les TPE et PME pouvant être concernées tant en qualité de responsable du traitement qu’en qualité de sous-traitant. Dans les deux cas il est rappelé qu’elles seraient concernées par le RGPD.
Les obligations spécifiques du sous-traitant sont énumérées, accompagnées d’exemples et de « bonnes pratiques ». Le Guide de sensibilisation au RGPD renvoie au « Guide RGPD pour les sous-traitants » pour en savoir plus.
Les bons réflexes de la protection des données à caractère personnel
Six reflexes à adopter pour garantir le traitement des données à caractère personnel conformément au RGPD sont proposés :
- ne collecter que les données vraiment nécessaires ;
- être transparent ;
- penser au droits des personnes ;
- garder la maitrise des données ;
- identifier les risques ;
- sécuriser les données.
Fiche pratique n°1 – les services en ligne
Cette fiche vise à aider les TPE et PME qui utilisent internet comme moyen de communication et/ou de prospection mais également pour vendre des produits en ligne.
1. Utilisation d’un site vitrine
Dans cette hypothèse, les seules données collectées sont celles renseignées dans un formulaire de contact ou un abonnement à une lettre d’information. A cet égard, il est rappelé aux entreprises que des mentions d’information doivent figurer au bas du formulaire, qu’il faut permettre aux personnes concernées d’exercer leurs droits et que l’éditeur du site doit être identifié dans les mentions légales. Il est renvoyé au site internet du service public pour en savoir plus.
2. Communication sur les réseaux sociaux
Il convient pour les entreprises concernées de prévoir le renvoi vers une page d’information sur les droits ainsi qu’une réponse type à adresser aux internautes insatisfaits.
3. Vente en ligne
Il est conseillé aux TPE et PME de se faire accompagner par un prestataire spécialisé, de s’assurer que la collecte des données est justifiée par le service et de toujours obtenir le consentement des personnes concernées, lesquelles doivent être informées de l’utilisation de leurs données.
Les TPE et PME sont invitées à sécuriser les données en ligne, informer leurs clients et leur donner la possibilité d’exercer leurs droits. Trois articles publiés sur le site internet de la Cnil permettent de mieux comprendre ces recommandations :
- « Sécuriser les sites web » ;
- « Prévenir, repérer et réagir face au piratage » ;
- « L’usurpation d’identité en question ».
4. Utilisation des cookies
L’entreprise doit informer la personne concernée et obtenir son consentement. Pour en savoir plus, la Cnil propose son dossier « Site web, cookies et autres traceurs ».
Fiche pratique n°2 – la relation avec les clients
1. Prospection de nouveaux clients
Les règles applicables à la prospection commerciale, accompagnées d’exemples, sont rappelées aux entreprises, à savoir :
- prendre des précautions dans l’utilisation de données disponibles en ligne ;
- être vigilant sur les bases de données en vente sur internet ;
- utiliser des fichiers dits « qualifiés », c’est-à-dire comportant des données fiables ;
- permettre aux personnes concernées de refuser de recevoir une sollicitation commerciale, à ce titre la Cnil propose des modèles de recueil de consentement ou d’opposition sur son site internet.
2. Fidélisation des clients
Il est rappelé aux entreprises les conditions dans lesquelles les données à caractère personnel des personnes concernées peuvent être traitées :
- ne collecter que les données nécessaires ;
- obtenir le consentement des clients lorsque la collecte de leurs données est nécessaire, ainsi que le consentement au partage de ces données ;
- informer les clients de l’utilisation de leurs données, dans les conditions générales de vente mais également par une mention d’information sur chaque formulaire de collecte ;
- permettre aux personnes concernées d’exercer leurs droits d’accès, de rectification, d’opposition et d’effacement ;
- prévoir des durées de conservation des données.
Des fiches pratiques « Commerce et données personnelles » sont disponibles sur le site de la Cnil afin de permettre aux TPE et PME d’approfondir ces points.
Fiche pratique n°3 – la relation avec les salariés
Après avoir rappelé les raisons pour lesquelles la protection des données à caractère personnel des salariés est essentielle, ainsi que les cas dans lesquels lesdites données peuvent être collectées, il est rappelé aux entreprises les règles à suivre pour le traitement de ces données, à savoir :
- ne demander que les informations utiles à l’accomplissement de leurs missions ;
- garantir la confidentialité et la sécurité des données ;
- informer les salariés ou les candidats de ce traitement, des destinataires, des durées de conservation et de la mise en œuvre de leurs droits.
1. Le contrôle des salariés et ses limites
S’il est vrai que l’employeur peut surveiller son salarié, cette surveillance doit reposer sur un intérêt légitime de l’entreprise et être occasionnelle.
Afin d’être transparent avec ses salariés, l’employeur doit consulter les instances représentatives du personnel et informer ses employés de la mise en œuvre d’un dispositif de surveillance.
Afin d’aider les entreprises dans cette démarche, le Guide renvoie à des fiches pratiques « Travail et protection des données » disponibles sur le site de la Cnil.
2. Sensibilisation et formation des salariés
Il est important de sensibiliser les salariés sur tous les points du RGPD. Il est recommandé de diffuser une charte informatique au sein de l’entreprise afin de porter cette information à la connaissance de tous les employés.
Ce guide de sensibilisation au RGPD est ainsi l’occasion pour la Cnil de rappeler les grands principes du RGPD et d’en montrer l’application pour les TPE et PME, afin de les accompagner dans leur démarche et de les rassurer à l’approche de l’entrée en application du RPGD.
Virginie Bensoussan Brulé
Debora Cohen
Lexing Contentieux numérique
(1) Guide de sensibilisation au RGPD : la Cnil et Bpi France s’associent pour accompagner les TPE et PME dans leur appropriation du Règlement européen sur la protection des données (RGPD), communiqué de la Cnil du 17-4-2018.
- Fiche pratique n°1 : les services en ligne
- Fiche pratique n°2 : la relation avec les clients
- Fiche pratique n°3 : la relation avec les salariés
(2) Règlement (UE) 2016/679 du 27-4-2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).