La date d’entrée en vigueur de la nouvelle régulation approche (25 mai 2018), et beaucoup d’entreprises travaillent dur pour que leur politique de collecte et de traitement des données soit conforme.
Les informations relatives à la question afin de savoir si cela affecte les petites entreprises a été pour le moins confuse. Cependant, la réponse à la question reste simple : Oui, le RGPD affecte les petites entreprises.
Il existe des stipulations légèrement différentes en fonction de la taille de l'entreprise. Cependant, les exigences générales du RGPD s'appliquent également aux petites entreprises, aussi petites soient-elles. La principale préoccupation est la collecte et le traitement des données personnelles, qui, aujourd'hui, peuvent être facilement réalisées par des entreprises de toute taille.
Le RGPD est-il différent pour les petites entreprises ?
En quelques mots : non. La règle est la même pour toutes les entreprises opérant dans l'UE. Même les entreprises qui n'ont pas leur siège dans l'UE mais qui recueillent et / ou traitent des données personnelles de citoyens ou d'autres sources de l'UE, devraient prendre des mesures adéquates pour assurer leur conformité au risque de faire face à de lourdes amendes.
Les entreprises qui violent le RGPD recevront une amende pouvant aller jusqu'à 20 millions d'euros ou l'équivalent de 4% de leur chiffre d'affaires annuel. Ces amendes indiquent que le coût de la violation des bonnes pratiques sur les données est grave et montre bien l'importance d'assurer le respect de la RGPD avant la date limite.
Les petites entreprises ne sont pas exemptées de ces exigences. Cependant, celles qui ont moins de 250 employés doivent conserver un enregistrement sécurisé des données qu'elles traitent afin d'éviter une fuite de données qui pourrait endommager un droit individuel ou bien se retrouver dans un casier judiciaire quelconque.
Que sont les données personnelles ?
L’uns des points essentiels du RGPD est la protection des données personnelles, mais qu’est-ce qui est considéré comme “donnée personnelle” exactement ? La nouvelle régulation homogénéise et unifie la définition de “donnée personnelle”, pour faire en sorte que toutes les informations comprises dans cette catégories soient identiques dans l’UE. Ce qui est différent de la situation aujourd’hui, où les données considérées comme “personnelle” sont différentes selon les pays européens.
La définition de “données personnelle” donnée par le RGPD inclut une large gamme de définitions, plus large que la plupart des définitions actuelles. La nouvelle régulation indique que les données personnes inclut les informations des individus suivantes :
- Nom
- Adresse
- Localisation
- Détails du revenu
- Détails de santé
- Identifiant en ligne
- Milieu culturel
Et encore bien plus d’éléments... Si tu acquiers des données de ce genre dans ton entreprise, celles-ci sont considérées comme “données personnelles”, et ton entreprise doit donc être conforme au RGPD.
Ce que les petites entreprises doivent faire pour se préparer
En France, la CNIL a publié un guide de 6 étapes pour se préparer au RGPD. Voici quelques-uns des points importants pour être prêt :
- Examiner les données : effectue une analyse approfondie du type de données collectées par ton entreprise et de la manière dont ces données sont traitées.
- Définir le consentement : si l'une des données que tu collectes est considérée comme donnée personnelle, tu dois demander son consentement
- Améliorer la sécurité : une partie du RGPD implique l'augmentation des mesures de sécurité pour prévenir les violations des données personnelles détenues par ton entreprise. Cela peut inclure le cryptage, par exemple.
- Fournir un accès : tu dois autoriser toute personne à exporter ou à demander les données détenues par ton entreprise. Elles peuvent également demander la suppression complète de leurs données dans le cadre du «droit à l'oubli».
- Vérifier tes partenaires: vérifie que toutes les autres entreprises ou fournisseurs de services avec lesquels tu travailles ou partages des données soient conformes au RGPD, afin d'éviter toute complication inutile.
- Etre transparent : dans le cadre du RGPD, tu dois déclarer ouvertement pourquoi les données personnelles des individus sont collectées et à quoi elles servent - cela exigera souvent qu'ils acceptent tes termes et conditions et tes accord de traitement des données.
- Conduire une formation : si tu travailles avec des employés, crée des sessions de travail pour t’assurer qu'ils soient bien au courant de ce que la nouvelle réglementation signifie pour l'entreprise, et comment les données doivent être traitées à l'avenir.
- Désigner un “DPO” : un délégué à la protection des données est nécessaire dans certains cas, pour en savoir plus sur les différents cas, rendez-vous sur la fiche du délégué à la protection des données de la CNIL
Les commerçants individuels et le RGPD
Cet article de blog s'est concentré sur les petites entreprises, bien que les commerçants individuels ne soient pas non plus exemptés. Si ton entreprise implique la collecte ou l'utilisation de données personnelles, les mêmes étapes doivent être suivies pour t’assurer que tu sois conforme.
Bien que la conformité au RGPD inclut puisse entraîner des coûts supplémentaires, les amendes sont tellement élevées, qu’il est judicieux pour toute entreprise de se pencher sur le RGPD, et d’y investir du temps, pour être conforme avant la date limite.
Debitoor et le RGPD
La sécurité des données de nos utilisateurs est primordiale chez Debitoor, nous avons donc pris des mesures supplémentaires pour analyser notre processus actuel de traitement des données, ainsi que ce qui devait être changé et mis à jour afin d'assurer la conformité.
Nous avons divisé ce processus en trois phases afin que nous puissions traiter avec précision chaque élément requis. Tu peux en savoir plus sur les étapes prises par Debitoor et sur la façon dont nous collectons et traitons les données sur notre page RGPD et Debitoor.