RGPD être en conformité avec le règlement Européen

RGPD Réglement Européen Protection des DonnéesLe RGPD qui est concerné ?

Le Règlement Général sur la Protection des Données, voté par le parlement européen en avril 2016, entrera en vigueur le 25 mai 2018 et s’appliquera de la même manière pour toutes les entreprises des 28 États membres de l’Union européenne. (UE 2016/679). Le RGPD s’impose aux entreprises ayant une activité en Europe ainsi qu’aux entreprises établies à l’étranger et qui traitent des données personnelles au profit d’entreprises européennes.
Cette réglementation qui concerne tous les pays de l’UE vise, avant tout, à uniformiser le niveau de protection. Ainsi, toute entité, toute entreprise ou tout professionnel libéral, en charge du traitement des données personnelles, se voit responsabilisé.

Plus précisément, pour les entreprises d’au moins 250 salariés, il ne sera plus question de déclarations, mais de tenue d’un registre de traitements de données, mis à disposition de la CNIL en cas de contrôle. Le DPO désigné pour cette mission devra y inscrire un certain nombre de mentions obligatoires, telles que les catégories de personnes concernées par le traitement de données, les mesures de sécurité mises en place, l’ensemble des responsables de traitements et des sous-traitants impliqués dans le traitement des données, etc.

RGPD les étapes pour être en conformité

Les organisations de moins 250 salariés doivent rester vigilantes. En effet dès lors que celles-ci effectuent des traitements sensibles de façon non occasionnelle, ou qui concernent certaines catégories de personnes ou des données relatives à des condamnations pénales et à des infractions, elles doivent aussi se plier à l’exercice.

Les autres PME de moins de 250 salariés sont dispensées de certaines obligations, telle que la consignation de leurs activités de traitement dans un registre.

Néanmoins, que votre entreprise soit une TPE, une PME ou même une grande entreprise, vous êtes concerné par le RGPD, et votre organisation sera plus ou moins impactée.

Complexe de prime abord, cette réglementation a pour objectif de clarifier une situation jusqu’alors imprécise au niveau européen. Chaque entreprise est donc tenue de mettre en place une politique interne afin de respecter les droits des utilisateurs d’un côté et les impératifs liés à son activité, de l’autre. Le règlement général sur la protection des données (RGPD) vient in fine prolonger le travail amorcé par la CNIL (1995) et encadrer la transformation digitale des entreprises et des associations.

Les Experts-comptables également impactés :

  • Les Experts-comptables, bien qu’ayant le devoir de respect du  code de déontologie, régi par le décret n° 2007-1387 du 27 septembre 2007, pratiquent l’exercice de leurs missions bien souvent au sein d’un cabinet, qui emploie des salariés. Ces derniers collectent également des données à caractère personnel, telles que les bulletins de paie, les contacts, etc. C’est pourquoi les cabinets d’expertise comptable doivent, comme toutes les entreprises, mettre en place une stratégie de protection des données personnelles. La mise en place du RGPD impliquera de renforcer des procédures internes et de sécuriser les relations avec leurs prestataires.

Les cabinets d’experts-comptables doivent alors adopter de nouvelles mesures techniques et organisationnelles pour se mettre en conformité avec le nouveau règlement européen.

Ils devront répondre à un ensemble de nouvelles règles d’information et de documentation telles que le consentement pour chaque traitement de données personnelles, le droit à l’oubli, intégrant la notion de champ d’application territorial étendu, si nécessaire.

Les risques :

Chaque année, l’ampleur de nouvelles menaces d’attaques informatiques ne cesse de croître.

Les conséquences s’avèrent parfois très lourdes : blocage des logiciels, demandes de rançon, diffusion des dossiers dans le domaine public, des pertes de chiffre d’affaires liées à la cessation de l’activité momentanée, plaintes en pénal, etc.

À cela il faut ajouter les coûts générés par la perte des données définitives s’il n’a pas été mis en place un archivage électronique efficace. Des frais de décontamination virale et de reconstitution des données peuvent être nécessaires …

Les risques étant élevés, il est préférable d’établir une étude d’impact sur la protection des données pour chaque traitement de données personnelles.

Cette étude permettra un traitement de données respectueux de la vie privée et de démontrer la conformité du traitement des données en cas de contrôle par la CNIL.

Si vous ne disposez pas de ressources internes vous permettant d’évaluer correctement l’impact et les éventuelles conséquences en cas de perte de données, il est préférable de s’entourer d’experts pour accompagner la mise en place des protections adéquates, et être capable de réagir rapidement, en cas de suspicion de cyberattaque.

Les sanctions :

Les sanctions en cas de non-respect des règles de protection des données personnelles sont dissuasives.

  • La diffusion involontaire ou malveillante de données personnelles est punie par la loi jusqu’à 1 an d’emprisonnement et 15 000 € d’amende (articles 226-13 du Code pénal).
  • Le fait de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en œuvre les mesures prescrites est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende (article 226-17 du Code pénal).

En cas de non-respect du règlement, de lourdes sanctions sont prévues notamment des amendes allant de 2 % à 4 % du chiffre d’affaires et jusqu’à 20 millions d’euros pour les infractions les plus graves.

La CNIL précise que ces sanctions sont encadrées, graduées et renforcées par rapport à la loi informatique et Liberté, qui sera à cette occasion revue par le Gouvernement pour permettre l’application effective de ces textes européens.

  • La non-conformité notamment sur les formalités d’informations et d’acceptation active, engendre des risques de plaintes par les utilisateurs.
  • En cas de plainte, un avertissement est envoyé par les autorités de protection puis une mise en demeure est envoyée en cas de non-résolution des problèmes signalés.

Soulignons que le fait d’adresser une plainte à la CNIL étant très accessible sur le site Cnil.fr et les utilisateurs étant de plus en plus informés, il convient de soigner l’information auprès de vos clients et  internautes afin d’être gage de confiance.

Au delà de la conformité :

Les attaques informatiques n’ayant cessé d’augmenter ces dernières années ont parfois entraîné de lourdes conséquences pour les entreprises. Au-delà des risques financiers dus aux sanctions de non-conformité et aux coûts générés par la perte de données, un autre risque est présent : celui de l’atteinte à l’image et à la réputation de l’entreprise.

En effet, la non-conformité au règlement risque de nuire à l’image de l’entreprise en impactant négativement la confiance des clients. Faites que la protection des données soit perçue comme un facteur de confiance avec vos clients, mais également avec vos partenaires, sans oublier de le faire savoir. En effet, la non-conformité avec le RGPD pourrait être un obstacle à leur collaboration.

Ainsi, être conforme au nouveau règlement n’est pas seulement une obligation à satisfaire, mais il s’agit là d’une opportunité de communication pour les entreprises, car ce règlement permet d’inscrire sa relation client dans une démarche de transparence.

AlterEthic ayant engagé sa transition digitale depuis 2011 est pleinement conscient des risques liés à la protection des données. Le processus de mise en conformité avec le nouveau règlement a donc été amorcé dès l’annonce de ce dernier et nos équipes ont pris toutes les mesures nécessaires à la mise en place du RGPD au sein du cabinet.

Auteur : Angélique RENFER DELAGREE, community manager AlterEthic

Date de publication : Le 04/05/2018

Imprimer