RGPD : un casse-tête pour les très petites entreprises - La Semaine Vétérinaire n° 1750 du 03/02/2018
La Semaine Vétérinaire n° 1750 du 03/02/2018

LÉGISLATION

ACTU

Auteur(s) : CLARISSE BURGER  

Pour les petites entreprises, le temps presse pour la mise en œuvre de la conformité au règlement général sur la protection des données (RGPD). Le point sur les étapes adéquates à suivre.

Il reste moins de quatre mois pour se conformer au règlement général sur la protection des données (RGPD) adopté le 14 avril 2016 par le Parlement européen. En effet, à compter du 25 mai 2018, ce dispositif légal devra être respecté par toutes les entreprises recevant des clients, quelle que soit leur taille, administrations comprises, dont le lieu d’établissement principal est en Union européenne (UE). L’objectif est de garantir à tout ressortissant de l’UE le droit à la protection de la vie privée et de ses données personnelles. Et ce, alors que les évolutions technologiques (big data, objets connectés, intelligence artificielle, etc.) touchent de plus en plus de domaines professionnels et privés. Les droits de l’individu devraient ainsi être renforcés au sein de l’UE en matière de protection des données à caractère personnel.

Ce qui signifie que les entreprises vont désormais devoir s’assurer du consentement « clair », « éclairé » et « univoque » des citoyens avant de collecter et de traiter leurs données à caractère personnel. Elles devront, avant toute collecte ou tout traitement, préciser dans quel but elles le font. Elles seront aussi tenues de « prouver » le consentement des individus. Les citoyens européens disposent d’un droit d’accès à leurs données, qui seront sécurisées et conservées, d’un droit de les rectifier, de s’opposer à leur utilisation ou de les effacer (droit à l’effacement, à la portabilité des données, etc.). Il faudra, par conséquent, que les entreprises disposent d’un système informatique adapté. Et, enfin, que celles dont les traitements de données sont susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes procèdent à l’analyse d’impact relative à la protection des données.

En France, la Cnil veille

En cas de non-respect du règlement européen, les commissions de l’UE – parmi lesquelles la Commission nationale de l’informatique et des libertés (Cnil) en France – pourront porter l’affaire en justice, et les entreprises inculpées pourraient écoper d’une amende allant jusqu’à 4 % de leur chiffre d’affaires annuel pour manquement aux droits des citoyens.

Par exemple, le règlement européen définit la « violation de données à caractère personnel » comme une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données.

En France, la Cnil précise qu’elle « devra assurer une protection optimale des données à chaque instant » et le démontrer « en documentant leur conformité ». Pour ce faire, chaque chef d’entreprise aura la tâche de nommer un responsable de la gouvernance des données personnelles de sa société. La Cnil ajoute qu’il devra cartographier les traitements de données réalisés dans sa structure (fichiers clients, contrats, etc.) et élaborer un registre des traitements, prioriser les actions pour respecter les nouvelles obligations, identifier les risques pour les droits et libertés des personnes (par exemple, quelles seraient les sources de risque dans l’entreprise, comment sensibiliser les utilisateurs travaillant avec des données privées, etc.), puis s’organiser en mettant en place des procédures en interne pour protéger les données (mesures et règles de sécurité, notamment). Enfin, le dirigeant sera tenu de documenter la conformité de sa structure au règlement européen1.

1 Voir aussi le nouveau guide de la sécurité des données personnelles sur Cnil.fr.

Abonné à La Semaine Vétérinaire, retrouvez
votre revue dans l'application Le Point Vétérinaire.fr