Votre Agent Général MMA
Trouver l'agence MMA la plus proche de chez vous.
Connexion Pro
Conseils pour votre quotidien d'entrepreneur
Publié le 14/05/2018, mis à jour le 11/01/2021
Autodiagnostic RGPD : votre TPE-PME est-elle en conformité ?
Depuis le 25 mai 2018, le RGPD (Règlement Général sur la Protection des Données) est entré en application, imposant aux entreprises des règles de collecte et d’utilisation des données personnelles plus contraignantes. MMA a conçu un diagnostic en ligne pour vous permettre, TPE et PME, d’évaluer vos pratiques et votre niveau de risque par rapport aux nouvelles dispositions de la loi.
Conçu spécialement pour les professionnels et petites entreprises, le diagnostic en ligne RGPD de MMA permet d’évaluer les points de risque de votre activité par rapport à la nouvelle règlementation. Prenez 4 minutes et faites votre diagnostic !
RGPD, cyber-risques... : MMA accompagne les entreprises
Avec le RGPD, les entreprises doivent notifier aux autorités de contrôle - ANSSI et CNIL en France - et à toutes les personnes concernées les incidents graves compromettant la sécurité des données. Sanction en cas de non-conformité : jusqu’à 4 % du chiffre d’affaires mondial ! Avec la garantie risques techniques de son offre Cyber-risques sur mesure, MMA couvre les frais que vous devrez engager pour respecter ces obligations : gestion de crise (honoraires d’avocats par exemple), perte de données informatiques, frais de notification aux clients et autorités, pertes d’exploitation, monitoring bancaire, cyber-extorsion(1).
(1) Dans les conditions, limites et exclusions prévues au contrat.
Le RGPD, qu’est-ce que c’est ?
Le Règlement Général sur la Protection des Données est un dispositif réglementaire adopté en mai 2016, et mis en vigueur deux ans plus tard, par les pays européens pour garantir un meilleur respect des données personnelles et une plus grande confiance entre les consommateurs et les entreprises qui utilisent leurs données.
Jusque-là, c’était la loi Informatique & Libertés qui, en France, encadrait l’utilisation des données. Les pays européens ont souhaité adopter un nouveau règlement afin d’harmoniser les pratiques des différents pays et de mieux protéger les citoyens européens, notamment face aux très grandes entreprises d’Internet mais pas seulement, puisque le RGPD s’applique à toute donnée personnelle traitée de manière organisée, qu’elle soit informatisée ou non.
Le RGPD a apporté plusieurs nouveautés par rapport à la loi Informatique et Libertés :
- Des droits et des possibilités de recours renforcés pour les utilisateurs ;
- Une augmentation significative de l’échelle des sanctions en cas d’infraction ;
- Un principe d’extra-territorialité qui permet d’appliquer la loi aux entreprises situées en dehors de l’Europe du moment que les données traitées concernent des européens ;
- Une obligation de documentation interne qui remplace les déclarations CNIL.
Vos clients ont de nouveaux droits
L’un des changements induit par le RGPD est le renforcement de l’information du consommateur, notamment par son consentement pour l’utilisation de ses données, ainsi que la possibilité de révoquer ce consentement. Le texte de la loi précise que le consentement doit être « libre, spécifique, éclairé et univoque ».
Si vous proposez par exemple un programme de fidélité, vous devez :
- Prévoir dans le formulaire d’inscription au programme (électronique ou papier) une case à cocher pour que le client autorise l’utilisation de ses données. La case ne doit pas être pré-cochée ;
- Informer explicitement par une mention sur le formulaire de la façon dont le client peut accéder à ses données ou les supprimer par la suite.
Le RGPD introduit d’autres droits : le droit à la portabilité par exemple, qui vise à faciliter pour l’utilisateur le changement de service, par le transfert des données d’un responsable du traitement à un autre. Il en renforce également d’autres, tel que le droit à l’oubli ou à l’effacement, permettant d’obtenir le retrait de ses informations personnelles d’une base de données.
Ce que change le RGPD pour les entreprises : exemples
|
Quelques pratiques avant l'application du RGPD |
Avec le RGPD |
|
En confiant ses données, les services demandaient souvent un consentement général qui s’appliquait à plusieurs traitements de données. |
Le consentement de l’utilisateur pour l’utilisation de ses données doit être libre, spécifique, éclairé et sans équivoque. |
|
Sauf dispense, les traitements de données personnelles étaient déclarés à la CNIL. |
Les formalités de déclaration à la CNIL n’existent plus. |
|
Les entreprises pouvaient désigner un Correspondant Informatique et Libertés mais elles n’y étaient pas obligées. |
La désignation d’un Délégué à la Protection des Données est obligatoire pour les organismes publics et les entreprises qui gèrent des volumes de données importants ou sensibles. Cette fonction et peut être externalisée. |
|
Les sous-traitants pouvaient être dégagés de leur responsabilité, selon les clauses des contrats entre clients et fournisseurs. |
Tout sous-traitant doit assistance à son client dans la mise en œuvre des droits des tiers en cas de demande d’effacement, d’accès, ou en cas de violation de données personnelles. |
Quelles entreprises sont concernées par le RGPD ?
Tout professionnel, entreprise ou organisme public est concerné par le RGPD à partir du moment où il collecte, stocke ou utilise les données personnelles de clients ou de salariés. Une donnée personnelle peut être un nom/prénom, un e-mail, une adresse, un numéro de téléphone et toute précision qui identifie la personne.
Par exemple, si vous avez des salariés, il est possible que leurs données soient gérées électroniquement par votre cabinet comptable. Dans ce cas, il convient de s’assurer que votre cabinet s’est mis en conformité.
La spécificité des TPE / PME
Les TPE et PME sont soumises aux mêmes obligations et sanctions que toutes les entreprises et organismes publics.
Il est recommandé aux TPE et PME de créer un registre listant leurs traitements de données. Vous retrouverez toutes les recommandations dans le guide commun publié par la CNIL et la BPI. La CNIL propose un modèle de registre.
Dans tous les cas, prenez soin de vérifier que vous appliquez les principes du RGPD vis-à-vis de vos clients, fournisseurs, prospects et salariés, et conservez une trace des démarches de conformité que vous aurez entreprises en interne, avec vos partenaires, vos fournisseurs et vos conseils, sous format papier ou électronique.
Quels contrôles et quelles sanctions ?
En France, le contrôle de la mise en œuvre du RGPD est du ressort de la CNIL (Commission Nationale Informatique et Libertés). Elle peut mener des contrôles en entreprise, sanctionner les organismes non conformes par des amendes administratives, et poursuivre les contrevenants en justice. Elle apprécie ses sanctions en fonction de la gravité des manquements et de la taille des entreprises ou organismes publics concernés.
La grande nouveauté du RGPD est la proportion des amendes en cas d’infraction. Avant le RGPD, par exemple, la CNIL avait infligé une amende de 150 000 euros à Facebook. Mais maintenant que le RGPD est en place, cette amende s’établit à 4 % du chiffre d’affaires mondial du contrevenant. Une différence de taille, qui incite toutes les entreprises à réfléchir à leur gestion des données.
Comment se mettre en règle ?
En priorité, utilisez les conseils et recommandations de la CNIL, ils sont très détaillés et la CNIL fait un important travail d’explication et d’accompagnement.
Vos partenaires habituels sont également là pour vous aider si une mise en conformité est nécessaire. N’hésitez pas à vous adresser à eux : votre avocat, votre juriste, votre expert-comptable, votre prestataire informatique... Si vous utilisez des outils en ligne pour gérer votre fichier client, pensez à interroger les plateformes elles-mêmes pour vous assurer qu’elles ont entrepris une démarche de mise en conformité.
Évaluez votre risque
MMA vous propose un diagnostic en ligne : 4 minutes pour évaluer quels aspects de votre activité peuvent être concernés par le RGPD.
Voir les autres articles du dossier
RGPD : la certification de votre DPO
Près de deux ans après l'entrée en vigueur du RGPD, 26% des entreprises concernées ont déclaré la nomination d'un délégué à la protection des données (DPO)(1). Une bonne raison pour vérifier si votre entreprise est soumise à cette obligation…
Fraude en entreprise : comment s’en protéger et réagir ?
La fraude en entreprise est un risque bien réel. Selon une étude menée par Grant Thornton en 2017, plus des trois quarts des entreprises interrogées déclaraient avoir subi une tentative de fraude au cours des deux dernières années(1). Focus sur les principaux types de fraude pour mieux vous en prémunir et adopter...
RGPD : avez-vous pensé à vos sous-traitants ?
François Carlach, expert juridique MMA, précise vos responsabilités dans le cadre du RGPD si vous sous-traitez la gestion des données personnelles de vos clients.
Données personnelles et RGPD : la FAQ des pros et entreprises
Le 25 mai 2018, le Règlement Général sur la Protection des Données est entré en application au sein de l’Union Européenne. Renforçant la protection des données personnelles, il implique la responsabilité des entreprises et les amène à se poser des questions quant aux changements engendrés par ce règlement, à ses...
.
© SFIO_CRACHO/Shutterstock
Assurance cyber-risques MMA :Protégez votre entreprise !
La dématérialisation des procédures - due à l'essor du télétravail - expose vos collaborateurs et votre entreprise à de nouveaux risques : vol de données, hameçonnage, défaillances liées aux logiciels. Avec l’assurance Cyber-Risques MMA, vous bénéficiez de garanties d’assurance adaptées(1).
(1) Nos prises en charge sont faites en application des garanties ou options souscrites et des conditions, limites, exclusions de garanties et du montant des franchises qui sont précisées dans les Conditions Générales, Conditions Particulières du contrat Assurance Cyber –Risques MMA.
