Le règlement général sur la protection des données personnelles (RGPD) est entré en application le 25 mai 2018. Ce texte a pour objectif de mieux protéger les particuliers concernant le traitement de leurs données personnelles et de responsabiliser les professionnels. Il n’est pas encore mis en place dans toutes les entreprises. Certaines sociétés profitent de ce retard et de la méconnaissance du sujet pour effrayer les retardataires. Les arnaques et les pratiques commerciales agressives sont encore de mise. Alors comment vous protéger ? Qu’avez-vous réellement besoin de faire pour vous mettre en conformité ?

 

Des courriers abusifs et des pratiques commerciales agressives

Nous avons encore eu le cas cet été d’un prospect qui nous a fait part d’un appel que nous avons identifié comme frauduleux. Une personne, laissant entendre qu’elle travaillait pour les autorités européennes, leur annonçait qu’ils allaient être soumis à une sanction financière... A moins de se mettre rapidement en conformité... Bien sûr, une solution était proposée pour y échapper moyennant un tarif assez élevé. La CNIL (Commission nationale de l'informatique et des libertés) a d’ailleurs, dès 2018, consacré une page pour alerter sur ces pratiques et donner ses recommandations pour éviter les arnaques.

Premier réflexe :

  • ne donner aucune information bancaire ou sur votre entreprise. En effet, il peut s’agir d’une manœuvre visant à mettre en place une escroquerie ou une attaque informatique.
  • prendre les coordonnées de la personne et vous renseigner…

Que demande réellement le RGPD pour être en conformité

Ce règlement s’applique à toute organisation, publique et privée, qui traite des données personnelles* pour son compte ou non. Ainsi, toutes les entreprises sont concernées, du moment où elles traitent des données personnelles (de façon informatisée ou non) :

  • Statistiques de consultation d’un site internet
  • Formulaire de contact en ligne
  • Gestion des données clients personnes physiques, des contacts de vos fournisseurs ou clients personnes morales … via un logiciel informatique ou sur papier
  • Recueil des données personnelles de vos employés pour la gestion des ressources humaines
  • Demande de devis par un prospect
  • Liste de vos partenaires commerciaux et de vos sous-traitants.

* Selon la CNIL, une « donnée personnelle » est « toute information se rapportant à une personne physique identifiée ou identifiable ».

Quelles actions doivent être mises en œuvre :

  • Répertorier vos traitements des données personnelles, les identifier, en vérifier l’utilité…
  • Sécuriser ces traitements (protection des fichiers papier, sécurité informatique…)
  • Vérifier le lieu de stockage de vos données informatiques (vos données doivent être hébergées en Union Européenne ou dans un pays reconnu par celle-ci)
  • Vérifier la conformité RGPD de vos sous-traitants : hébergeurs web, services de cloud, fournisseurs de messagerie…
  • Respectez les droits des personnes : informez vos clients, prospects, collaborateurs du traitement de leurs données personnelles et permettez-leur d’exercer facilement leurs droits d’accès, de rectification, d’opposition, d’effacement, à la portabilité et à la limitation du traitement.
  • Signaler à la CNIL toute violation des données personnelles que vous traitez : infraction dans vos locaux, piratage informatique…

La CNIL propose une page synthétique permettant de bien commencer et pouvant suffire à une petite entreprise. Elle y présente les 4 actions principales à mener pour entamer et maintenir sa mise en conformité avec les règles de protection des données.

Alors, concrètement que faut-il faire ? :

  • Répertorier tous vos traitements des données personnelles : paye des salariés, transmission de données à des partenaires, fichiers clients, fichiers prospects etc.
  • Sécuriser vos locaux et vos traitements informatiques
  • Informer les personnes dont vous traitez les données. Et leur donner les moyens de vous contacter pour exercer leurs droits : adresse mail de contact, adresse postale, coordonnées téléphoniques
  • Recueillir les consentements des personnes dont vous traitez les données via votre site web (utilisation de traceurs, cookies ou de formulaires de contact en ligne)

Quel coût et quels services pour votre mise en conformité RGPD

Pour commencer, cela dépend de la taille de l’entreprise, des personnes ressources en interne, du type et du nombre de traitements des données personnelles pratiqué. Pour une petite entreprise, voire un entrepreneur travaillant seul, la mise en conformité sera bien sûr plus facile que pour une Multinationale ! Mais, en suivant les 4 actions de la CNIL citées plus haut, vous pouvez tout faire vous-même. Il faut cependant relativiser le temps que vous allez y passer par rapport à ce qu’il aurait pu vous rapporter si vous l’aviez utilisé à exercer votre activité…

Ainsi, se faire accompagner n’est pas forcément plus coûteux que de le faire soi-même et apporte un gage de sérénité et une caution juridique si vous optez pour un service assermenté. Il faut pour cela choisir le prestataire qui correspondra le mieux à votre besoin. Certains proposent des audits et des accompagnements qui varient entre 8000 et 15 000 euros mais ne sont pas adaptés ni au budget ni au besoin d’une petite structure. Pour une entreprise traitant des données personnelles restreintes et peu sensibles, le tarif devrait varier entre 500 et 2000 euros.

En tant qu’Avocats Conseil aux entreprises, nous avons à cœur de proposer une mise en conformité sur mesure adaptée à vos usages. Nous collaborons avec Visions Nouvelles, Agence de communication web à Montpellier, pour la mise en conformité de votre site internet (voir nos tarifs)  : rédaction sur-mesure des mentions légales, politique de confidentialité, CGU et CGV.

Découvrez tous nos services aux entreprises : https://lrf-avocats.fr/