Le Règlement Général sur la Protection des Données (RGPD) est entré en vigueur le 25 mai 2018. Ce texte européen vise à renforcer la protection des données personnelles des citoyens de l’Union Européenne.

Pour se mettre en conformité avec le RGPD, les entreprises doivent suivre plusieurs étapes. Elles doivent notamment identifier les bases légales des traitements, obtenir le consentement explicite des personnes concernées lorsque nécessaire et définir des durées de conservation appropriées pour les données.

La mise en conformité RGPD est un processus continu qui nécessite l’implication de tous les acteurs de l’entreprise. À noter qu’avoir un logiciel RGPD adapté peut aider à structurer la démarche et à documenter la conformité.

Identifier les bases légales des traitements

La première étape pour mettre une entreprise en conformité avec le RGPD consiste à identifier les bases légales des traitements de données personnelles. Le RGPD prévoit six bases légales sur lesquelles un traitement peut reposer :

  • Le consentement de la personne concernée
  • L’exécution d’un contrat avec la personne concernée
  • Le respect d’une obligation légale
  • La sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique
  • L’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique
  • Les intérêts légitimes poursuivis par le responsable du traitement

Pour chaque traitement de données personnelles, l’entreprise doit déterminer la base légale applicable. Elle doit être en mesure de justifier ce choix et de le documenter.

Cas particulier des données sensibles

Les données dites « sensibles » (origines raciales ou ethniques, opinions politiques, convictions religieuses, données de santé, etc.) font l’objet d’une protection renforcée. Leur traitement n’est possible que dans des cas limités prévus à l’article 9 du RGPD (consentement explicite, respect des obligations en droit du travail, intérêt public important, etc.).

Obtenir le consentement explicite si nécessaire

Lorsque le traitement repose sur le consentement de la personne concernée, celui-ci doit être libre, spécifique, éclairé et univoque. Le RGPD renforce les conditions de validité du consentement par rapport à la loi Informatique et Libertés.

Les critères du consentement valide

Pour être valide, le consentement doit répondre à quatre critères cumulatifs :

  • Libre : la personne doit avoir le choix de consentir ou non, sans subir de pression
  • Spécifique : le consentement doit être donné pour une finalité précise
  • Éclairé : la personne doit disposer des informations nécessaires avant de consentir
  • Univoque : le consentement doit être donné par un acte positif clair (case à cocher, signature, etc.)

Le responsable de traitement doit être en mesure de démontrer qu’il a valablement recueilli le consentement des personnes. Il est recommandé de tenir un registre des consentements, pouvant être sous forme électronique.

Le droit de retirer son consentement

La personne concernée a le droit de retirer son consentement à tout moment, aussi simplement qu’elle l’a donné. Le retrait du consentement ne compromet pas la licéité du traitement effectué avant ce retrait.

L’entreprise doit informer les personnes de leur droit de retirer leur consentement avant de le recueillir. Elle doit mettre en place des mécanismes simples pour permettre aux personnes d’exercer ce droit.

Définir des durées de conservation appropriées

Le RGPD impose que les données personnelles ne soient pas conservées au-delà de la durée nécessaire aux finalités pour lesquelles elles ont été collectées. Chaque entreprise doit donc définir, pour chaque traitement, une durée de conservation appropriée.

Les durées de conservation légales

Certains textes fixent des durées de conservation spécifiques pour certaines catégories de données. C’est le cas par exemple en matière sociale, fiscale ou encore pour les données de santé.

Type de donnéesDurée de conservationTexte de référence
Données de paie5 ansArticle L3243-4 du Code du travail
Données fiscales6 ansArticle L102 B du Livre des procédures fiscales
Données de santé20 ansArticle R1112-7 du Code de la santé publique

Les durées fixées par l’entreprise

En l’absence de durée légale, il revient à chaque entreprise de déterminer une durée de conservation en fonction de ses besoins. Cette durée doit être proportionnée à la finalité du traitement et justifiable.

Par exemple, les données relatives à un prospect qui n’a pas répondu à une sollicitation commerciale depuis 3 ans peuvent être supprimées. En revanche, les données nécessaires à l’exécution d’un contrat doivent être conservées pendant toute la durée de celui-ci.

Au terme de la durée de conservation, les données doivent être supprimées ou anonymisées de manière irréversible. L’entreprise doit mettre en place des procédures pour s’assurer du respect de ces durées.

Encadrer les transferts de données hors UE

Le RGPD encadre strictement les transferts de données personnelles en dehors de l’Union Européenne. Ces transferts ne sont possibles que si le pays destinataire assure un niveau de protection adéquat des données.

Les outils pour encadrer les transferts

Plusieurs mécanismes permettent d’encadrer les transferts de données hors UE :

  • Les clauses contractuelles types de la Commission européenne
  • Les règles d’entreprise contraignantes (BCR) pour les transferts intra-groupe
  • Les codes de conduite et mécanismes de certification approuvés
  • Les dérogations prévues à l’article 49 du RGPD (consentement explicite, exécution d’un contrat, motifs importants d’intérêt public, etc.)

L’entreprise doit choisir l’outil le plus approprié en fonction du contexte du transfert (finalité, catégories de données, destinataires, etc.). Elle doit être en mesure de démontrer qu’elle a mis en place des garanties appropriées.

Les transferts vers les États-Unis

Les transferts de données vers les États-Unis font l’objet d’une attention particulière depuis l’invalidation du Privacy Shield par la Cour de Justice de l’Union Européenne en juillet 2020. Les entreprises qui transfèrent des données outre-Atlantique doivent revoir leurs mécanismes de transfert pour assurer un niveau de protection suffisant.

Elles peuvent notamment utiliser les clauses contractuelles types de la Commission européenne, en les complétant par des mesures supplémentaires (techniques, organisationnelles, etc.). Une analyse au cas par cas est nécessaire pour évaluer si ces mesures permettent d’atteindre un niveau de protection essentiellement équivalent à celui garanti au sein de l’UE.

Prévoir les procédures en cas de violation de données

Malgré les mesures de sécurité mises en place, aucune entreprise n’est à l’abri d’une violation de données personnelles (accès, divulgation, modification non autorisés, etc.). Le RGPD impose aux entreprises de notifier ces violations dans certains cas et de tenir un registre interne.

Quand notifier une violation ?

En cas de violation de données, l’entreprise doit évaluer les risques pour les droits et libertés des personnes concernées. Si ces risques sont élevés, elle doit notifier la violation :

  • À l’autorité de contrôle compétente (CNIL en France), dans les 72 heures après en avoir pris connaissance
  • Aux personnes concernées, dans les meilleurs délais

La notification doit notamment décrire la nature de la violation, ses conséquences, les mesures prises pour y remédier. Des exceptions à l’obligation de notification aux personnes concernées sont prévues si des mesures appropriées ont été mises en œuvre (chiffrement des données, etc.).

Le registre interne des violations

Indépendamment de leur niveau de risque, toutes les violations de données doivent être documentées dans un registre interne. Ce registre permet à l’entreprise de garder une trace des incidents et de démontrer sa réactivité en cas de contrôle.

Pour chaque violation, le registre doit notamment mentionner :

  • Les circonstances de la violation
  • Ses effets et les mesures prises pour y remédier
  • Le raisonnement suivi pour déterminer s’il était nécessaire de notifier ou non

L’entreprise doit mettre en place des procédures internes pour détecter, traiter et documenter les violations de données. Elle doit également sensibiliser ses collaborateurs à la gestion de ces incidents.

Mettre en place des outils de gestion du consentement

Pour gérer efficacement les consentements des personnes, les entreprises doivent se doter d’outils adaptés. Ces outils doivent permettre de recueillir les consentements, de les stocker et de gérer leur cycle de vie.

Les modalités de recueil du consentement

Le recueil du consentement doit se faire via un acte positif clair, par exemple :

  • Une case à cocher (qui ne doit pas être pré-cochée)
  • Un bouton « J’accepte »
  • Un formulaire de consentement à remplir

Le mécanisme de recueil doit permettre à la personne de donner son consentement de manière libre, spécifique, éclairée et univoque. Il doit être dissocié des autres informations (CGU, politique de confidentialité, etc.).

La gestion des preuves de consentement

L’entreprise doit être en mesure de prouver qu’elle a valablement recueilli le consentement des personnes. Elle doit donc mettre en place un système pour collecter et conserver les preuves de consentement.

Ces preuves peuvent prendre différentes formes selon le mode de recueil (enregistrement électronique, formulaire papier, etc.). Elles doivent être horodatées et conservées pendant toute la durée du traitement.

L’entreprise doit également permettre aux personnes d’accéder facilement à leurs consentements, de les mettre à jour ou de les retirer à tout moment. Des outils de gestion des préférences peuvent être mis en place à cet effet.

Nommer une personne responsable de la protection des données

Pour piloter leur mise en conformité, les entreprises doivent désigner un responsable de la protection des données. Cette désignation est obligatoire dans certains cas (autorité publique, suivi régulier et systématique des personnes à grande échelle, etc.).

Le rôle du délégué à la protection des données

Le délégué à la protection des données (DPO) est chargé de :

  • Informer et conseiller l’entreprise sur ses obligations en matière de protection des données
  • Contrôler le respect du RGPD et des règles internes de l’entreprise
  • Coopérer avec l’autorité de contrôle et faire office de point de contact sur les questions de protection des données

Le DPO doit disposer des ressources nécessaires pour exercer ses missions. Il doit pouvoir agir de manière indépendante et ne peut être sanctionné pour avoir exercé ses fonctions.

La désignation du DPO

Le DPO peut être un salarié de l’entreprise ou un prestataire externe. Il doit être désigné sur la base de ses qualités professionnelles et de ses connaissances du droit et des pratiques en matière de protection des données.

Si la désignation d’un DPO n’est pas obligatoire, l’entreprise peut choisir d’en désigner un volontairement. Elle doit alors respecter les mêmes exigences que pour un DPO obligatoire.

Les coordonnées du DPO doivent être communiquées à l’autorité de contrôle et aux personnes concernées. L’entreprise doit également publier ces coordonnées et les mentionner dans ses politiques de confidentialité.

A propos de l’auteur

Specialiste en gestion et finance pour TPE et PME. Dominique Geslin accompagne les dirigeants de petites entreprises dans leurs decisions financieres, comptables et managériales depuis plus de 10 ans. Fondateur de Comptanoo.