Skip to content

Le RGPD pour les TPE

Le RGPD pour les TPE

Avec l’entrée en vigueur du Règlement Général sur la Protection des Données (RGPD), les TPE comme de nombreuses entreprises ont dû adapter leurs procédures et leurs pratiques. En effet, la nouvelle réglementation les a contraint à se mettre en conformité avec le RGPD, et ainsi à respecter de nouvelles obligations.

Ainsi, il est utile pour les dirigeants de TPE de se familiariser avec ces nouvelles obligations, afin d’éviter les sanctions liées au RGPD.

Les TPE sont-elles concernées par l’application du RGPD ?

Le RGPD a pour principal objectif d’encadrer le traitement des données personnelles. Il fixe ainsi les conditions dans lesquelles celles-ci peuvent être collectées, conservées et exploitées.

C’est pourquoi, les personnes concernées par le RGPD sont les organismes amenés à traiter des données personnelles. Le traitement de ces données doit permettre à l’organisme de fonctionner correctement ou d’assurer la gestion de ses activités.

A noter : L’article 4 du RGPD définit une donnée personnelle comme une information permettant d’identifier directement ou indirectement une personne physique.

Ainsi, tous les organismes publics ou privés sont concernés par le RGPD. C’est pourquoi, les TPE traitant des données personnelles sont dans l’obligation de respecter les principes imposés par le RGPD. Il importe donc peu la taille de l’entreprise, sa forme juridique ou son nombre de salariés.

Bon à savoir : Lorsque la TPE a recours à un sous-traitant pour le traitement des données personnelles, celui-ci doit également se soumettre aux obligations imposées par le RGPD.

Quelles sont les obligations des TPE au regard du RGPD ?

Le RGPD, entré en vigueur en 2018, impose de nombreuses obligations aux TPE. En effet, celles-ci doivent veiller à respecter plusieurs principes.

Les principes instaurés par le RGPD

Le RGPD a instauré de nombreux principes afin de garantir la protection des données personnelles. Il appartient donc aux TPE d’adapter le traitement des données personnelles aux nouvelles règles imposées par le RGPD.

Ainsi, les TPE sont dans l’obligation de respecter les principes tels que :

  • la licéité du traitement : l’article 6-1 du RGPD prévoit six conditions dans lesquelles le traitement des données personnelles est permis. Les TPE doivent ainsi veiller à ce que le traitement des données entre dans ces conditions.
Attention : Si le traitement des données personnelles de la TPE ne répond pas aux six conditions, celui-ci ne sera pas licite.
  • la minimisation des données : la TPE a l’obligation de limiter la collecte des données à celles strictement nécessaires par rapport à la finalité du traitement. Ainsi, elle doit collecter des données uniquement pour répondre à l’objectif défini.
  • le principe d’accountability : les entreprises sont responsables en cas de non-respect des principes posés par le RGPD. Ainsi, les TPE doivent mettre en place des mesures pour garantir les principes du RGPD.
  • le principe de “privacy by design” : la TPE doit veiller à prendre en compte la protection des données personnelles dès la conception du produit ou d’un service.

Le respect des droits des personnes

Le RGPD confère de nombreux droits aux personnes dont les données sont collectées. En effet, celles-ci disposent notamment d’un droit :

  • d’accès ;
  • de rectification ;
  • à la portabilité : toute personne a le droit de récupérer les données qu’elle a fournies à un responsables de traitement.

Les TPE sont ainsi dans l’obligation de mettre en place des mesures veillant à respecter ces droits.

Par ailleurs, elles doivent veiller dans de nombreuses situations à recueillir le consentement dans le cadre du RGPD des personnes concernées.

A noter : Les TPE doivent également respecter les règles strictes imposées en matière de profilage par le RGPD.

Comment mettre en conformité sa TPE avec le RGPD ?

La mise en conformité de la TPE avec le RGPD nécessite le respect de plusieurs étapes. En effet, au regard des principes énoncés précédemment, les TPE ont l’obligation de mettre en place plusieurs mesures.

Etape 1 : Constituer un registre du traitement des données

La mise en conformité au RGPD implique une documentation détaillée des opérations liées aux données personnelles. Ainsi, les TPE doivent disposer d’un registre des activités de traitement. Celui-ci permet ainsi de recenser les traitements des données personnelles et de disposer d’une vue d’ensemble sur l’utilisation des données personnelles.

Ainsi, le registre doit contenir :

  • Les différents traitements effectués ;
  • les types des traitements ;
  • les types de données recueillies et utilisées (leur origine, leur catégorie, un transfert éventuel des données de l’étranger ou à l’étranger) ;
  • les acteurs traitant des données ;
  • les conditions d’exécution du traitement ;
  • la durée de conservation des données personnelles.

Il est par ailleurs recommandé de confier la tenue du registre au délégué à la protection des données (DPO RGPD). Celui-ci aura alors pour mission de le mettre à jour régulièrement.

A noter : Ce registre doit pouvoir être communiqué à la CNIL lorsqu’elle le demande.

Etape 2 : Trier les données

Le tri des données s’inscrit dans la volonté de collecter les données uniquement nécessaires au traitement.

Ainsi, les TPE ne doivent collecter que les données dont elles ont strictement besoin. Ainsi, elles doivent :

  • collecter les données que si elles ont un lien direct avec la finalité du traitement
  • limiter la collecte aux données strictement nécessaires par rapport à la finalité du traitement
Bon à savoir : La finalité du traitement se définit comme l’objectif en vue duquel les données sont collectées ou exploitées par l’organisme. Elle doit impérativement être définie par les entreprises.

Etape 3 : Sécuriser les données personnelles

La sécurisation des données personnelles est un principe posé par l’article 32-1 du RGPD. Ainsi, les TPE doivent mettre en œuvre les mesures techniques appropriées. Celles-ci permettent alors de garantir un niveau adapté aux risques.

La sécurisation des données s’appuie sur les principes de :

  • confidentialité : les données ne sont accessibles qu’aux personnes autorisées.
  • d’intégrité : les données ne doivent pas être altérées ou modifiées.
  • disponibilité : les données doivent être en permanence accessibles aux personnes autorisées.

Il existe plusieurs mesures de sécurités possibles. Ainsi, les TPE peuvent mettre en place le chiffrement des données. Cela permet alors de garantir la confidentialité d’une information. Elles peuvent également procéder à la pseudonymisation des données. Elle consiste à remplacer une donnée personnelle par un pseudonyme.

A noter : Outre les étapes mentionnées, les TPE peuvent également avoir recours à une formation RGPD. Celle-ci permet alors de mettre en place des mesures assurant la mise en conformité au RGPD de l’entreprise.

Quelles sont les sanctions en cas de non-respect du RGPD par les TPE ?

L’accountability RGPD contraint les TPE à rendre des comptes auprès de la CNIL, autorité de contrôle en France. Le non-respect des normes, surtout le manquement aux droits des personnes, peut entraîner de lourdes sanctions.

En effet, si les mesures adéquates ne sont pas mises en place pour assurer la protection des données personnelles, l’entreprise peut être sanctionnée d’une amende. Celle-ci peut s’élever jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial.

Toutefois, les autorités de contrôle appliquent parfois des sanctions administratives conséquentes et dissuasives. Elles peuvent :

  • Imposer l’obligation de conformité ;
  • Réaliser un rappel à l’ordre ;
  • Limiter définitivement ou temporairement le traitement des données.
Attention : ces mesures répressives peuvent également avoir de graves conséquences sur l’image de la TPE concernée. En effet, elles peuvent faire l’objet d’une publication.

FAQ

Comment mettre sa TPE en conformité avec le RGPD ?

Afin d’être conforme au RGPD, les TPE sont dans l’obligation d’adapter leurs procédures et leurs pratiques. Elles doivent ainsi mettre en place plusieurs mesures telles que la tenue d’un registre du traitement des données ou la sécurisation des données personnelles.

Quelles sont les obligations à respecter par les TPE selon le RGPD ?

Les TPE doivent veiller à respecter les principes posés par le RGPD. En effet, celles-ci sont considérées comme responsables du respect des grands principes du RGPD. Elles doivent ainsi respecter par exemple le principe de licéité du traitement des données ou la minimisation des données.

Quelles sont les sanctions en cas de non-respect du RGPD ?

Les entreprises peuvent faire l’objet de plusieurs types de sanctions en cas de non-respect du RGPD. La CNIL peut par exemple prononcer des amendes allant jusqu’à 20 millions d’euros ou 4% du chiffres d’affaires. Elle peut également prononcer des sanctions administratives telles qu’un rappel à l’ordre ou le retrait d’une certification.

Obtenir un devis RGPDObtenir un devis RGPD

Samuel est co-fondateur de LegalPlace et responsable du contenu éditorial. L’ambition est de rendre accessible le savoir-faire juridique au plus grand nombre grâce à un contenu simple et de qualité. Samuel est diplômé de Supelec et de HEC Paris

Dernière mise à jour le 16/07/2021

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments