Depuis le 25 mai 2018, le RGPD (Règlement Général sur la Protection des Données) est entré en application, imposant aux entreprises des règles de collecte et d’utilisation des données personnelles plus contraignantes. MMA a conçu un diagnostic en ligne pour vous permettre, TPE et PME, d’évaluer vos pratiques et votre niveau de risque par rapport aux nouvelles dispositions de la loi.
Conçu spécialement pour les professionnels et petites entreprises, le diagnostic en ligne RGPD de MMA permet d’évaluer les points de risque de votre activité par rapport à la nouvelle règlementation. Prenez 4 minutes et faites votre diagnostic !
Avec le RGPD, les entreprises doivent notifier aux autorités de contrôle - ANSSI et CNIL en France - et à toutes les personnes concernées les incidents graves compromettant la sécurité des données. Sanction en cas de non-conformité : jusqu’à 4 % du chiffre d’affaires mondial ! Avec la garantie frais de notification de son offre cyber-risques sur mesure, MMA couvre les frais que vous devrez engager pour respecter ces obligations (identification des personnes, frais de communication....) (1).
(1) Dans les conditions, limites et exclusions prévues au contrat.
Le Règlement Général sur la Protection des Données est un dispositif réglementaire adopté en mai 2016, par les pays européens pour garantir un meilleur respect des données personnelles et une plus grande confiance entre les consommateurs et les entreprises qui utilisent leurs données.
Jusque-là, c’était la loi Informatiques & Liberté qui en France, encadrait l’utilisation des données. Les pays européens ont souhaité adopter un nouveau règlement afin d’harmoniser les pratiques des différents pays et de mieux protéger les citoyens européens, notamment face aux très grandes entreprises d’Internet mais pas seulement, puisque le RGPD s’applique à toute donnée personnelle traitée de manière organisée, qu’elle soit informatisée ou non.
Le nouveau RGPD apporte plusieurs nouveautés :
L’un des changements induit par le RGPD est le renforcement de l’information du consommateur, notamment lors de son consentement pour l’utilisation de ses données, ainsi que la possibilité de révoquer le consentement. Le texte de la loi précise que le consentement doit être « libre, spécifique, éclairé et univoque ».
Si vous proposez par exemple un programme de fidélité, vous devez :
Le RGPD introduit d’autres droits : le droit à la portabilité par exemple, qui vise à faciliter pour l’utilisateur le changement de service, par le transfert des données d’un responsable du traitement à un autre. Il en renforce également d’autres, tel que le droit à l’oubli ou à l’effacement, permettant d’obtenir le retrait de ses informations personnelles d’une base de données.
Quelques pratiques avant l'application du RGPD |
Avec le RGPD |
En confiant ses données, les services demandaient souvent un consentement général qui s’appliquait à plusieurs traitements de données. |
Le consentement de l’utilisateur pour l’utilisation de ses données doit être libre, spécifique, éclairé et univoque. |
Sauf dispense, les traitements de données personnelles étaient déclarés à la CNIL. |
Les formalités de déclaration à la CNIL n’existe plus. |
Les entreprises pouvaient désigner un Correspondant Informatique et Libertés mais elles n’y étaient pas obligées. |
La désignation d’un Délégué à la Protection des Données est obligatoire pour les entreprises qui gèrent des volumes de données importants ou sensibles et peut être externalisé. |
Les sous-traitants pouvaient être dégagés de leur responsabilité, selon les clauses des contrats entre clients et fournisseurs. |
Tout sous-traitant doit assistance à son client dans la mise en œuvre des droits des tiers en cas de demande d’effacement, d’accès, ou en cas de violation de données personnelles. |
Tout professionnel, entreprise ou organisme public est concerné par le RGPD à partir du moment où il collecte, stocke ou utilise les données personnelles de clients ou de salariés. Une donnée personnelle peut être un nom/prénom, un e-mail, une adresse, un numéro de téléphone et toute précision qui identifie la personne.
Par exemple, si vous avez des salariés, il est possible que leurs données soient gérées électroniquement par votre cabinet comptable. Dans ce cas, il convient de s’assurer que votre cabinet s’est mis en conformité.
Les TPE et PME sont soumises aux mêmes obligations et sanctions que toutes les entreprises et organismes publics.
Il est recommandé de créer un registre pour les TPE et PME, conformément aux recommandations émises dans un guide commun publié par la CNIL et la BPI. La CNIL en propose un modèle de registre.
Dans tous les cas, prenez soin de vérifier que vous appliquez les principes RGPD vis-à-vis de vos clients, fournisseurs, prospects et salariés, et conservez une trace des démarches de conformité que vous aurez entreprises en interne, avec vos partenaires, vos fournisseurs et vos conseils, sous forme papier ou électronique.
En France, le contrôle de la mise en œuvre du RGPD est du ressort de la CNIL (Commission Nationale Informatique et Libertés). Elle peut mener des contrôles en entreprise, sanctionner les organismes non conformes par des amendes administratives, et poursuivre les contrevenants en justice. Elle apprécie ses sanctions en fonction de la gravité des manquements et de la taille des entreprises ou organismes publics concernés.
La grande nouveauté du RGPD est la proportion des amendes en cas d’infraction. Avant le RGPD, par exemple, la CNIL a récemment infligé une amende de 150 000 euros à Facebook. Avec le RGPD, cette amende s’établit à 4 % du chiffre d’affaires mondial du contrevenant.
En priorité, utilisez les conseils et recommandations de la CNIL, ils sont très détaillés et la CNIL fait un important travail d’explication et d’accompagnement.
Vos partenaires habituels sont également là pour vous aider si une mise en conformité est nécessaire. N’hésitez pas à vous adresser à eux : votre avocat, votre juriste, votre expert-comptable, votre prestataire informatique... Si vous utilisez des outils en ligne pour gérer votre fichier client, pensez à interroger les plateformes elles-mêmes pour vous assurer qu’elles ont entrepris une démarche de mise en conformité.
MMA vous propose un diagnostic en ligne : 4 minutes pour évaluer quels aspects de votre activité peuvent être concernés par le RGPD.
Six mois après l'entrée en vigueur du RGPD, seulement 16 % des entreprises concernées ont déclaré la nomination d'un délégué à la protection des données (DPO)(1). Une bonne raison pour vérifier que votre entreprise n'est pas soumise à cette obligation…
La fraude en entreprise est un risque bien réel. Selon une étude menée par Grant Thornton en 2017, plus des trois quarts des entreprises interrogées déclaraient avoir subi une tentative de fraude au cours des deux dernières années(1). Focus sur les principaux types de fraude pour mieux vous en prémunir et adopter...
Le 25 mai 2018, le Règlement Général sur la Protection des Données entre en application au sein de l’Union européenne. Renforçant la protection des données personnelles, il implique la responsabilité des entreprises et les amène à se poser des questions quant aux changements engendrés par ce règlement, à ses conditions...
François Carlach, expert juridique MMA, précise vos responsabilités dans le cadre du RGPD si vous sous-traitez le traitement des données personnelles de vos clients.