Connexion Pro

Conseils pour votre quotidien d'entrepreneur

Autodiagnostic RGPD : votre TPE-PME est-elle en conformité ?

À partir du 25 mai 2018, le RGPD (Règlement Général sur la Protection des Données) entre en application, imposant aux entreprises des règles de collecte et d’utilisation des données personnelles plus contraignantes. MMA a conçu un diagnostic en ligne pour vous permettre, TPE et PME, d’évaluer vos pratiques et votre niveau de risque par rapport aux nouvelles dispositions de la loi.

MMA_RGPD_test.jpg (473909642)

Conçu spécialement pour les professionnels et petites entreprises, le diagnostic en ligne RGPD de MMA permet d’évaluer les points de risque de votre activité par rapport à la nouvelle règlementation. Prenez 4 minutes et faites votre diagnostic !

RGPD, cyberrisques... : MMA accompagne les entreprises

contrats assurances tarifs © Iceteaimages/Fotolia

Avec le RGPD, les entreprises doivent notifier aux autorités de contrôle - ANSSI et CNIL en France - et à toutes les personnes concernées les incidents graves compromettant la sécurité des données. Sanction en cas de non-conformité : jusqu’à 4 % du chiffre d’affaires mondial ! Avec la garantie frais de notification de son offre cyber-risques sur mesure, MMA couvre les frais que vous devrez engager pour respecter ces obligations (identification des personnes, frais de communication....) (1).
 

Contactez votre Agent Général MMA

(1) Dans les conditions, limites et exclusions prévues au contrat.

Le RGPD, qu’est-ce que c’est ?

Le Règlement Général sur la Protection des Données est un dispositif réglementaire adopté en mai 2016, par les pays européens pour garantir un meilleur respect des données personnelles et une plus grande confiance entre les consommateurs et les entreprises qui utilisent leurs données.

Jusque-là, c’était la loi Informatiques & Liberté qui en France, encadrait l’utilisation des données. Les pays européens ont souhaité adopter un nouveau règlement afin d’harmoniser les pratiques des différents pays et de mieux protéger les citoyens européens, notamment face aux très grandes entreprises d’Internet mais pas seulement, puisque le RGPD s’applique à toute donnée personnelle traitée de manière organisée, qu’elle soit informatisée ou non.

Le nouveau RGPD apporte plusieurs nouveautés :

  • des droits et des possibilités de recours renforcés pour les utilisateurs ;
  • une augmentation significative de l’échelle des sanctions en cas d’infraction ;
  • un principe d’extra-territorialité qui permet d’appliquer la loi aux entreprises situées en dehors de l’Europe du moment que les données traitées concernent des européens ;
  • une obligation de documentation interne qui remplace les déclarations CNIL.

Vos clients ont de nouveaux droits

L’un des changements induit par le RGPD est le renforcement de l’information du consommateur, notamment lors de son consentement pour l’utilisation de ses données, ainsi que la possibilité de révoquer le consentement. Le texte de la loi précise que le consentement doit être « libre, spécifique, éclairé et univoque ».

Si vous proposez par exemple un programme de fidélité, vous devez :

  • dans la plupart des cas, prévoir dans le formulaire d’inscription au programme (électronique ou papier) une case à cocher pour que le client autorise l’utilisation de ses données. La case ne doit pas être pré-cochée ;
  • informer explicitement par une mention sur le formulaire de la façon dont le client peut accéder à ses données ou les supprimer par la suite.

Le RGPD introduit d’autres droits : le droit à la portabilité par exemple, qui vise à faciliter pour l’utilisateur le changement de service, par le transfert des données d’un responsable du traitement à un autre. Il en renforce également d’autres, tel que le droit à l’oubli ou à l’effacement, permettant d’obtenir le retrait de ses informations personnelles d’une base de données.

Ce que change le RGPD pour les entreprises : exemples

 

Quelques pratiques avant l'application du RGPD

Avec le RGPD

En confiant ses données, les services demandaient souvent un consentement général qui s’appliquait à plusieurs traitements de données.

Le consentement de l’utilisateur pour l’utilisation de ses données doit être libre, spécifique, éclairé et univoque.
Cette donnée doit être récoltée pour un traitement clairement spécifié à l’utilisateur.

Sauf dispense, les traitements de données personnelles étaient déclarés à la CNIL.

Les formalités de déclaration à la CNIL n’existe plus.
L’entreprise ou l’organisme doit tenir un registre (format Excel, par exemple) des traitements réalisés.

Les entreprises pouvaient désigner un Correspondant Informatique et Libertés mais elles n’y étaient pas obligées.

La désignation d’un Délégué à la Protection des Données est obligatoire pour les entreprises qui gèrent des volumes de données importants ou sensibles et peut être externalisé.

Les sous-traitants pouvaient être dégagés de leur responsabilité, selon les clauses des contrats entre clients et fournisseurs.

Tout sous-traitant doit assistance à son client dans la mise en œuvre des droits des tiers en cas de demande d’effacement, d’accès, ou en cas de violation de données personnelles.

Quelles entreprises sont concernées par le RGPD ?

Tout professionnel, entreprise ou organisme public est concerné par le RGPD à partir du moment où il collecte, stocke ou utilise les données personnelles de clients ou de salariés. Une donnée personnelle peut être un nom/prénom, un e-mail, une adresse, un numéro de téléphone et toute précision qui identifie la personne.

Par exemple, si vous avez des salariés, il est possible que leurs données soient gérées électroniquement par votre cabinet comptable. Dans ce cas, il convient de s’assurer que votre cabinet s’est mis en conformité.

La spécificité des TPE / PME

Les TPE et PME sont soumises aux mêmes obligations et sanctions que toutes les entreprises et organismes publics.

Il est recommandé de créer un registre pour les TPE et PME, conformément aux recommandations émises dans un guide commun publié par la CNIL et la BPI. La CNIL en propose un modèle de registre.

Dans tous les cas, prenez soin de vérifier que vous appliquez les principes RGPD vis-à-vis de vos clients, fournisseurs, prospects et salariés, et conservez une trace des démarches de conformité que vous aurez entreprises en interne, avec vos partenaires, vos fournisseurs et vos conseils, sous forme papier ou électronique.

Quels contrôles et quelles sanctions ?

En France, le contrôle de la mise en œuvre du RGPD est du ressort de la CNIL (Commission Nationale Informatique et Libertés). Elle peut mener des contrôles en entreprise, sanctionner les organismes non conformes par des amendes administratives, et poursuivre les contrevenants en justice. Elle apprécie ses sanctions en fonction de la gravité des manquements et de la taille des entreprises ou organismes publics concernés.

La grande nouveauté du RGPD est la proportion des amendes en cas d’infraction. Avant le RGPD, par exemple, la CNIL a récemment infligé une amende de 150 000 euros à Facebook. Avec le RGPD, cette amende  s’établit à 4 % du chiffre d’affaires mondial du contrevenant.

Comment se mettre en règle ?

En priorité, utilisez les conseils et recommandations de la CNIL, ils sont très détaillés et la CNIL fait un important travail d’explication et d’accompagnement.

Vos partenaires habituels sont également là pour vous aider si une mise en conformité est nécessaire. N’hésitez pas à vous adresser à eux : votre avocat, votre juriste, votre expert-comptable, votre prestataire informatique... Si vous utilisez des outils en ligne pour gérer votre fichier client, pensez à interroger les plateformes elles-mêmes pour vous assurer qu’elles ont entrepris une démarche de mise en conformité.

Évaluez votre risque

MMA vous propose un diagnostic en ligne : 4 minutes pour évaluer quels aspects de votre activité peuvent être concernés par le RGPD.

Voir les autres articles du dossier

Fraude en entreprise : comment s’en protéger et réagir ?

La fraude en entreprise est un risque bien réel. Selon une étude menée par Grant Thornton en 2017, plus des trois quarts des entreprises interrogées déclaraient avoir subi une tentative de fraude au cours des deux dernières années(1). Focus sur les principaux types de fraude pour mieux vous en prémunir et adopter...

Données personnelles et RGPD : la FAQ des pros et entreprises

Le 25 mai 2018, le Règlement Général sur la Protection des Données entre en application au sein de l’Union européenne. Renforçant la protection des données personnelles, il implique la responsabilité des entreprises et les amène à se poser des questions quant aux changements engendrés par ce règlement, à ses conditions...