Blog
RGPD (GDPR) Comment évaluer Votre Risque ?

RGPD (GDPR) Comment évaluer votre risque ?

Coup d’œil :

  • Les 7 principes à suivre pour la protection des données personnelles
  • Dois-je suivre toutes les règles du RGPD ?
  • Est-ce que je peux bénéficier de certains allègements de procédure ?
  • Les principaux risques pour mon entreprise
  • Mes recommandations de bon sens
  • Qu’est-ce qu’une donnée personnelle ?
  • Devez-vous tenir un registre, engager un Délégué à la protection des données ?
  • Pourquoi ces précautions ?
  • Contenu minimal du registre

7 principes de la protection des données personnelles dans l’Union Européenne [1]: le RGPD (GDPR) [2]

  • Les informations à caractère personnel doivent être traitées de façon loyale et licite, conforme aux bases légales
  • Les données personnelles ne doivent être traitées que pour une finalité précise
  • On ne collecte que les données personnelles nécessaires au type de traitement, pas plus
  • Les données doivent être exactes et maintenues à jour
  • La durée de rétention des données personnelles doit être limitée au temps nécessaire à leur traitement (il existe des durées légales pour certaines catégories des données selon les États)
  • Le traitement doit respecter les droits des personnes (droit à l’effacement, à la portabilité…)
  • Les données doivent être gardées en sécurité

Dois-je suivre toutes les règles du GDPR (RGDP) même si je suis une PME, TPE, une start-up, un travailleur indépendant, une micro entreprise ?

OUI

  • Le RGPD fait référence aux petites, moyennes et micro entreprises à plusieurs reprises
  • Il est clair que quelle que soit la taille de votre entreprise, vous êtes soumis aux règles sur les données personnelles des personnes physiques (vos clients, employés, fournisseurs, sous-traitants…) que vous classez ou traitez.
  • La Commission Européenne, les États Membres et autres acteurs devront tenir compte du cas particulier des petites entreprises qui n’ont pas les moyens matériels ou les compétences pour tous les aspects du Règlement européen [5]
  • Le texte prévoit des aménagements possibles, pour les entreprises employant moins de 250 personnes, notamment :
    • Les PME, TPE, start-up, indépendants, micro entreprises ne sont pas contraints de tenir les registres prévus dans le Règlement [6]
    • Selon votre activité ou l’étendue de votre utilisation des données personnelles, vous ne serez pas contraints d’engager un Délégué à la protection des données personnelles (DPO ou Data Privacy Officer)

RGPD : Quels sont les principaux risques pour votre activité ?  

  • Fortes pénalités imposées par l’autorité centrale de contrôle de l’État Membre compétent (celui devant qui a été portée une plainte à votre sujet)
  • Toute personne concernée par une atteinte à ses droits issus du RGPD a le droit à un recours juridictionnel contre votre entreprise et tous vos sous-traitants en charge du recueil, du traitement ou du stockage de leurs données personnelles.

Mais êtes-vous sûr d’être une PME, petite ou micro-entreprise pour bénéficier des dérogations et aménagements existants ou à venir ?

Êtes-vous une PME, une moyenne, petite ou micro entreprise au sens du droit européen ?

Il est important que vous soyez sûr de votre classification si vous décidez de ne pas tenir de registre sur la façon dont vous traitez les données

Les critères principaux pour reconnaître votre classement en PME, TPE [7]

=> Vous êtes une PME, TPE ou micro entreprise si :

  • Vous employez moins de 250 personnes
  • et votre chiffre d’affaires annuel n’excède pas 50 millions d’euros
  • ou le total du bilan annuel n’excède pas 43 millions d’euros.

Dans la catégorie des PME :

=> Vous êtes une petite entreprise si :

  • vous employez moins de 50 personnes
  • et votre chiffre d’affaires annuel ou le total du bilan annuel n’excède pas 10 millions d’euros.

 => Vous êtes une micro entreprise si :

  • vous employez moins de 10 personnes
  • et votre chiffre d’affaires annuel ou le total du bilan annuel n’excède pas 2 millions d’euros.

Recommandations aux PME, TPE, start-up, indépendants ou micro entreprises  [8]

Même si les textes ne vous contraignent pas à tenir un registre de toutes vos actions sur les données personnelles dans votre entreprise (sauf si le traitement de données personnelles est votre activité principale [9]) je vous recommande de faire très régulièrement le point sur la façon dont vous utilisez les données personnelles dans votre activité

  • La cartographie de votre façon de recueillir, de conserver et d’utiliser les données personnelles vous sera très utile en cas de cyber-attaque.
  • Vous saurez où sont les précieuses données personnelles que vous devez protéger (obligation légale [10]) au mieux contre des cyber-attaques qui ne manqueront pas de vous arriver.
  • Un registre à jour sur la façon dont vous conservez, traitez et protéger les données personnelles sera un atout nécessaire lors de votre négociation en vue de contracter une cyber-assurance.
  • Vous aurez un élément de preuve si vous deviez être mis en cause après une cyber-attaque de votre entreprise.Le RGPD mentionne que :

« Il convient de vérifier si toutes les mesures de protection techniques et organisationnelles appropriées ont été mise en œuvre pour établir immédiatement si une violation des données à caractère personnel s’est produite et pour informer rapidement l’autorité de contrôle et la personne concernée » [13]

  • Une personne qui aurait subi un dommage dû à la perte, au vol ou à l’utilisation frauduleuse de ses données personnelles [14] présentes dans votre entreprise (sous forme digitale ou papier) peut vous poursuivre. [15]
  • Vous êtes responsable de la façon dont vous traitez les données personnelles même si vous avez sous-traité la conservation ou la gestion de ces données
  • Vous pourrez prouver que vous prenez au sérieux la protection de la vie privée des personnes en contact avec votre entreprise, c’est un avantage commercial sur votre concurrence non négligeable, les personnes tiennent à leur vie privée comme le prouve une large étude en Europe [16]

Principaux points à vérifier pour évaluer votre risque (non-limitatifs) sous le RGPD

Qu’est-ce qu’une donnée personnelle sous le régime du Règlement européen (GDPR OU RGDP)

> Toute information se rapportant à une personne physique identifiée ou identifiable Définition d’une personne physique identifiable :

  • directement
  • ou indirectement,
  • notamment par référence à un identifiant, tel que : – un nom, – un numéro d’identification – des données de localisation – un identifiant en ligne – un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale [17]
  • L’adresse IP est une donnée personnelle
  • Toutes les données permettant d’identifier une personne par recoupement, profilage sont des données personnelles

Quelle est votre activité principale ?

Quels types de données conservez-vous ou traitez-vous ?

Vous devez tenir un registre spécifique même si vous êtes une PME, TPE, start-up ou indépendant :

  • Si vous effectuez ou faites effectuer un traitement des données personnelles susceptible de comporter un « risque pour les droits et libertés de la personne concernée « .
  • Si votre activité principale est le recueil ou le traitement de données personnelles.
  • Si vous recueillez des données sensibles [19] telles :
    • l’origine raciale ou ethnique
    • les opinions politiques
    • les convictions religieuses ou philosophiques
    • l’appartenance syndicale
    • des données génétiques,
    • des données biométriques aux fins d’identifier une personne physique de manière unique
    • des données concernant la santé
    • des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique
  • Si vous recueillez des données personnelles relatives à des condamnations pénales ou à des infractions [20]
  • Si votre activité principale porte sur le recueil, le traitement ou la conservation de données, y compris des données personnelles, (fournisseur de cloud…)

Exemples

  • Si vous utilisez les données personnelles pour une publicité ciblée basée sur le comportement des personnes

OUI vous devez maintenir un registre de votre utilisation des données personnelles

  • Vous êtes un petit commerçant, vous avez une liste de clients d’une centaine de noms avec leur adresse physique, vous leur envoyez une publicité promotionnelle sur support papier 1 fois par an :

NON pas besoin de registre mais vous devez assurer la sécurité de vos listes de données personnelles, quel que soit le support (même sur papier). Au minimum conservez vos listes sur un cloud courant type Dropbox, Google Drive, OneDrive…

  • Vous êtes commerçant avec une liste de clients d’une centaine de noms avec leur adresse e-mail, vous envoyez régulièrement des offres, des communications par mails, vous utilisez peut-être un service vous permettant de cibler vos offres

Vous avez peut-être un petit site internet avec des cookies, un formulaire de contact, vous utilisez un service courant et gratuit d’analyse de trafic (type Google Analytics) ou d’ouverture des mails d’informations ou d’offres que vous envoyez

OUI, vous devriez tenir un registre au moins minimal afin de vous protéger et de garder la preuve de votre utilisation

  • Si vous utilisez le service de tiers pour conserver, gérer ou analyser les données personnelles dans votre entreprise, un cloud par exemple, il est important de lire ou relire leur police de protection des données.

Chacune des parties doit clarifier ses responsabilités et ses devoirs dans la protection des données personnelles.

Vous devez savoir où sont les données personnelles que vous transmettez et dans quelles conditions de sécurité elles vont être conservées, analysées.

Utilisez votre bon sens et surtout informez-vous sur la définition des données personnelles dans le régime des Règlements européens.

Sachez que dans le régime du RGPD, le droit des personnes à contrôler l’utilisation de leurs données est central.

Les entreprises voulant utiliser des données personnelles ne peuvent le faire que sur la base de 6 fondements licites [22]

Devez-vous désigner un Délégué à la protection des données (DPO ou DPD) ?

En tant qu’entreprise, votre activité principale déterminera votre obligation d’engager un Délégué en charge de la vérification de votre politique d’utilisation des données personnelles Si votre activité principale ou celle d’un de vos sous-traitants consiste en :

  • des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées
  • un traitement à grande échelle de catégories particulières de données (données sensibles ou relatives à des condamnations pénales et infractions) [24]

Alors vous devrez engager un Délégué à la protection des données [25]

Pourquoi ces précautions ?

Si vous n’êtes pas sûr de la façon dont vous traitez les données personnelles, vous prenez de gros risques par rapport à vos obligations légales mais aussi par rapport à votre réputation commerciale. Vous ne retrouverez la confiance de vos clients et partenaires pas après un incident mettant en cause l’intégrité ou la sécurité des données personnelles qu’on vous a remises. Aucune entreprise n’est à l’abri d’incidents matériels (destruction physique des supports de données personnelles) ou d’incidents d’origine informatique (cyber-attaques) ou humaine (malveillance d’un ex-employé par exemple) MAIS

  • si vous démontrez que vous avez pris les précautions nécessaires pour protéger les droits des personnes sujets des données, si vous maintenez un registre à jour de votre utilisation des données personnelles et de leur protection, vous détenez un élément important de preuve en cas de poursuites.
  • Parce que vous engagez votre responsabilité même si vous utilisez des services tiers pour les données personnelles dans votre entreprise
  • Vous êtes responsable de vos choix de conservation et de traitement des données personnelles.
  • Quelle que soit la taille de votre entreprise, vous n’êtes pas à l’abri d’un cyber-attaque.

Au contraire, les PME sont particulièrement visées par les attaques informatiques.

  • Par exemple, ne laissez pas de données personnelles traîner dans des dossiers simples sur votre ordinateur.

Il pourrait être simplement volé (très courant) mettant en danger d’utilisation frauduleuse les données personnelles non-protégées et vous serez responsable.

  • Vous engagez aussi la réputation de votre entreprise auprès de vos clients, vos employés, vos sous-traitants, fournisseurs qui vous ont fait confiance en vous confiant leurs précieuses données personnelles
  • Considérez le temps pour établir une cartographie des données dans votre entreprise comme investissement sur le futur de votre activité
  • Investir dans une politique légale et éthique de protection des données est un signe de bonne gouvernance dans une entreprise.
  • La compliance légale est importante mais une activité éthique l’est tout autant.
  • Les consommateurs européens ont clairement indiqué leurs préférences
  • La vie privée n’est pas morte avec internet, les pouvoirs publics en Europe protègent le droit fondamental à la vie privée

Contenu minimum du registre des données personnelles

  • le nom et les coordonnées du responsable du traitement
  • les finalités du traitement
  • une description des catégories de personnes concernées et des catégories de données à caractère personnel
  • les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les destinataires dans des pays tiers ou des organisations internationales
  • le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale
  • dans la mesure du possible, les délais prévus pour l’effacement des différentes catégories de données
  • dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles [28]

Si par exemple vous êtes un petit commerçant ne gérant qu’une petite liste d’une centaine de noms et adresses de vos clients pour des livraisons, que vous n’avez que quelques employés, vous pouvez raisonnablement conserver ces données sur un cloud sécurisé courant comme Google Grive, Dropbox, One Drive…

CONCLUSION

Le nouveau Règlement sur les données personnelles (GDPR ou RGDP) appliqué dès le 25 mai 2018, est l’occasion pour les PME, TPE, start-up ou indépendants de remettre à plat leur politique d’utilisation et de protection des données en général dans l’entreprise Un état des lieux sérieux de votre gouvernance des données dans votre entreprise est une obligation légale et éthique dont votre entreprise ne peut se passer. Même si vous pensez ne pas être exposé à des poursuites ou de fortes pénalités, vous l’êtes certainement, quelle que soit la taille de votre entreprise, parce que la définition des données personnelles est très large.

NOTES:

[1] Traduit de l’anglais. Webinar, Information Commissioner’s Office, ICO, UK, 03 mai 2017.

[2] Règlement (UE) 2016/679 Du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement Général sur la Protection des Données) http://eur-lex.europa.eu/legalcontent/FR/TXT/PDF/?uri=CELEX:32016R0679&from=FR

[3] VOIR mon dossier cyber-sécurité des PME, TPE, start-up, indépendants

[4] VOIR mon article « RGPD (GDPR): comment enregistrer le consentement des personnes ? » https://mementosafe.com/consentement-rgpd/

[5]  » Les institutions et organes de l’Union, et les États membres et leurs autorités de contrôle sont en outre encouragés à prendre en considération les besoins spécifiques des micro, petites et moyennes entreprises dans le cadre de l’application du présent règlement. » Récital 13 du GDPR, supra note 2

[6] Art 30, GDPR, supra note 2

[7] Plus de détails, notamment pour les calculs dans :  » Recommandation de la Commission du 6 mai 2003 concernant la définition des micro, petites et moyennes entreprises  » (2003/361/CE) http://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32003H0361&from=FR

[8] Recommandations de bon sens, ceci n’est pas un conseil juridique.

[9] VOIR plus bas

[10] Art 32 : vous devez avoir pris les « mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque »

[11]  Les PME et petites entreprises sont particulièrement visées par les cyber-attaques. La question n’est pas de savoir « si » vous subirez une attaque informatique mais plutôt « quand » VOIR mon dossier sur la cybersécurité

[12] VOIR mon article futur  » L’assurance contre les cyber-attaques pour les PME/TPE, les start-up ou les indépendants « 

[13] Récital 87, GDPR, supra note 2

[14] Art 30-5, GDPR, ibid.

[15] Si vous violez les droits des personnes donnés par le Règlement, elles ont un recours juridictionnel contre vous. Art 79, GDPR, supra note 2 Les personnes ont aussi un droit à la réparation d’un dommage matériel ou moral dû à la violation du GDPR par vous-même ou par votre sous-traitant en charge du recueil, du stockage ou du traitement des données personnelles. Art 82, GDPR

[16] 71 % des participants à cette large étude au niveau européen rejettent l’idée des sociétés participants leurs données personnelles sans leur autorisation. Le fait pour la société d’utiliser ces informations personnelles pour proposer de nouveaux services qu’ils peuvent aimer ne compte pas. Leur vie privée a plus de valeur pour eux qu’un nouveau service gratuit. Eurobarometer 443, e-privacy

[17] Art 4-1 , GDPR, note 2

[18] Art 30-5, GDPR, note 2

[19] Art 9-1, ibid.

[20] Art 10, ibid.

[21] Non limitatifs, repris en partie de « Data protection – Better rules for small business », infographie, Commission Européenne, mai 2017, http://ec.europa.eu/justice/newsroom/data-protection/infographic/2017/index_en.htm?utm_campaign=58ca6a2173a6a3222e01b7f2&utm_content=590b3e8a69082f260900ce30&utm_medium=smarpshare&utm_source=twitter#mobile-menu

[22] Art 6, supra note 2

[23] Voir ci-dessus

[24] Art 37-1-b) et c), GDPR, supra note 2

[25] Section 4, GDPR, ibid.

[26] VOIR mon article  » Pourquoi se protéger des attaques informatiques sur les données ? Tous concernés  » https://mementosafe.com/cyber-attaques-protection/

[27] Art 30-1, ibid.

[28] ibid.

[ninja_form id=2]
Articles connexes
error: Ce Contenu est protégé
Back To Top