En 2024, de plus en plus d’informations sont demandées aux utilisateurs, consommateurs et internautes. Pour protéger la vie privée des citoyens européens, le Règlement Général sur la Protection des données (RGPD) a été adopté en 2016, pour entrer en vigueur en 2018.
Le RGPD a permis d’harmoniser les législations européennes, et de responsabiliser les entreprises sur la protection qu’elles offrent à leurs utilisateurs. Il ne pouvait en être autrement au regard de l'explosion du digital ces dernières années.
A quoi sert le RGPD ? Quel est le but du RGPD ? Comment préparer sa mise en place dans votre entreprise et s’assurer d’être en règle ? Voici le mode d’emploi.
Mini-sommaire
Lorsqu’on parle de RGPD, les données personnelles constituent le point de départ de la réflexion.
Elles regroupent toutes les informations qui, ensemble, permettent d’identifier une personne en particulier.
Par exemple, sont des données personnelles : le nom, le prénom, un numéro de carte d’identité, une adresse mail, etc.
En réalité, les données personnelles sont exploitées au quotidien par vos équipes : les ressources humaines, le service commercial ou le service marketing, les ingénieurs, etc.
A contrario, des informations personnelles, qui sont rendues anonymes, ne constituent pas, au sens du RGPD, des données personnelles.
Vous collectez directement ou indirectement des données personnelles dans le cadre de votre activité ? Alors, vous êtes concerné par le RGPD, il importe peu votre taille ou votre CA, ou que vous soyez un satellite d’un service public.
Votre entreprise a son siège social hors de l’UE ? C’est la même chose. Vous êtes concerné par le RGPD dès lors que vous récoltez des informations auprès de résidents européens.
Toutes les start-up sont concernées : e-commerce, proptech, martech, assurtech, etc. Le spectre est large. Le RGPD concerne toute organisation qui collecte, traite ou archive des données personnelles sur autrui.
Pour le dire simplement, le RGPD est là pour renforcer les droits des personnes et responsabiliser les acteurs.
Tout d’abord, les personnes dont les données sont collectées doivent donner leur consentement avant tout traitement. Cela signifie qu’il y a une obligation de transparence très forte. Ainsi, vous devez les informer sur la façon dont vous allez traiter les données (objectif poursuivi, durée de conservation, etc.) et obtenir une validation de leur part (case à cocher par exemple).
Par ailleurs, l’exercice des droits est un incontournable du RGPD. Sur le terrain, il est donc essentiel qu’une personne dont les données à caractère personnel sont collectées puisse trouver un référent qui saura répondre à ses questions et qui pourra, par la même occasion, aiguiller la demande vers le bon service.
Enfin, le RGPD a décidé de responsabiliser les acteurs - responsables de traitement et sous-traitants- qui ont l’obligation de s’autonomiser sur le sujet et inclure le RGPD dans leur projet dès la conception d’un service ou d’un produit (c’est le principe de privacy by design). Ils doivent veiller également à leur accountability en implémentant des procédures internes pour prouver qu’ils ont bel et bien rempli leurs obligations (documentation, code de conduite, tenue d’un registre à jour, etc.).
Si vous êtes soumis au RGPD, soyez proactif et prenez toutes les mesures techniques et organisationnelles pour respecter les principes du RGPD.
Cela vous oblige à réfléchir à une vraie gouvernance interne sur le sujet et insuffler les bonnes pratiques à vos équipes.
Les étapes sont plutôt simples à comprendre. Néanmoins, il est essentiel de prendre conscience que la mise en place du RGPD demande un travail itératif et continu.
Effectuez une cartographie des données. Quelles sont les informations personnelles en votre possession ? Quelle est la finalité de chacun des traitements ? Quelle est la durée de conservation. Pour évaluer votre situation, la première étape est de répondre aux 10 questions à se poser pour se mettre en conformité au RGPD ;
Menez un audit rigoureux de l’existant. A la différence de la cartographie, il s’agit d’identifier les mesures que vous avez déjà mises en place versus les mesures à prendre.
Priorisez vos actions. La cartographie et l’audit vont vous permettre d’identifier les chantiers prioritaires. Cela concerne-t-il des données sensibles dont la sécurité de conservation laisse à désirer ? Un exercice de droits qui n’est pas assuré ? Une politique de confidentialité erronée alors que vous gérez une énorme base de données marketing ?
Sensibilisez vos équipes. Vous pouvez aussi avoir recours à la formation RGPD qui leur permettra de ne manquer aucune de leurs obligations légales, mais nous vous conseillons surtout de leur enseigner les bons gestions RGPD du quotidien.
Faites appel à un avocat RGPD qui mettra en place, après une cartographie et un audit, une politique RGPD efficace, pragmatique et surtout spécifique à vos besoins et à votre secteur.
A quoi sert le RGPD ? À encadrer le traitement des données personnelles. Vous ne pouvez donc plus exploiter ces dernières comme bon vous semble.
Par ailleurs, en respectant le RGPD, vous établissez une relation de confiance avec vos prospects et clients, puisque les consommateurs sont de plus en plus sensibles à ce sujet. En effet, 76% d’entre eux s’inquiètent pour la protection de leurs données personnelles.
Au-delà du risque réglementaire, il vous appartient non seulement de préserver votre activité économique (quid en cas de défaillance de sécurité ?), mais également votre réputation.
Une question ? Un besoin ponctuel ou récurrent ?
Nous contacter pour un accompagnementTéléchargez nos templates
Retrouvez tous les contrats et documents juridiques pour créer et développer votre entreprise en 2023.