Nous connaître
Mon espace

TPE/PME : 5 questions à se poser pour garantir votre mise en conformité avec la loi RGPD 

Publié le 30/01/2024

En vigueur depuis le 25 mai 2018, le Règlement général sur la protection des données (RGPD) concerne toutes les entreprises traitant des données personnelles, dont les TPE et PME. On fait le tour des questions à se poser pour garantir sa conformité à la réglementation RGPD.

 

1. Ne collectez-vous que les données personnelles nécessaires ?

Comme pour toutes les entreprises, les données personnelles détenues par votre TPE ou PME sont soumises au RGPD (Règlement général sur la protection des données). Pour garantir votre conformité, vous devez tout d'abord vous assurer que la collecte et l'utilisation des données s'inscrivent dans un but précis, nécessaire et légal.

Dans cette optique, vous avez l'obligation de définir la finalité de la collecte de données personnelles. À titre d'exemple, cette finalité peut être la constitution d’un fichier pour gérer votre clientèle, la réalisation d’une enquête de satisfaction ou encore l’organisation d’un jeu concours.

Pour vérifier que vous ne collectez que les informations nécessaires à votre activité, cette finalité doit être :

  • légitime : la collecte sert les missions de votre entreprise ;
  • respectée : les données collectées ne peuvent être utilisées que pour l'objectif fixé ;
  • pertinente : vous ne pouvez pas demander une information qui ne sert pas votre objectif ;
  • restreinte dans le temps : les données doivent être supprimées à l'issue d'une certaine période.

 

2. Dans le cadre de la réglementation RGPD, respectez-vous votre devoir de transparence ?

Le RGPD prévoit que les entreprises, y compris les TPE et PME, doivent être transparentes quant à l’utilisation des données qu’elles collectent et aux droits des personnes concernées. Pour cela, vous devez informer les personnes (clients, prospects, salariés, etc.) en cas de collecte de leurs données personnelles. Cela vaut pour les informations recueillies directement auprès des individus (formulaire, achat en ligne, etc.) ou via diverses technologies (analyse de la navigation sur votre site Internet par exemple). L’obligation d’information vaut également en cas de collecte indirecte, c’est-à-dire lorsque les données ne sont pas recueillies directement auprès des personnes (données personnelles récupérées auprès de partenaires commerciaux, de sources accessibles au public, etc.).

Pour toutes les données, vous devez communiquer les renseignements que vous collectez. À ce titre, vous avez notamment l'obligation de signaler la finalité de la collecte, l'identité du responsable du traitement des données, la durée de conservation ou encore les droits des personnes concernées vis-à-vis de ces données (accès, rectification, effacement, etc.).

 

3. Respectez-vous les droits des personnes concernées ?

Les personnes concernées par la collecte de leurs données personnelles disposent de droits. Vous devez tout particulièrement être vigilant sur 5 points pour vous assurer de votre conformité au RGPD.

  • Le droit à l'information : avant toute collecte de données, vous devez informer les individus, notamment sur la finalité de la collecte et les destinataires des données.
  • Le recueil du consentement : les personnes doivent consentir de manière libre et éclairée à la collecte de leurs données. Si vous utilisez un formulaire en ligne, ce consentement peut être exprimé via une case à cocher par exemple.
  • Le droit d'opposition : vous devez permettre aux personnes dont vous collectez des données de s’opposer à ce que leurs données soient utilisées par vous ou par des tiers (partenaires commerciaux par exemple) pour un objectif précis.
  • Le droit d'accès, de rectification et de suppression : les personnes concernées doivent également pouvoir demander à consulter, faire rectifier ou supprimer les données personnelles que vous avez en votre possession (demande écrite par voie électronique ou par courrier).
  • Le droit à la portabilité : les personnes concernées doivent pouvoir demander à récupérer pour un usage personnel ou pour les transmettre à une autre entreprise les données personnelles les concernant. En règle générale, cela intervient en cas de changement de prestataire.

Pour exercer les droits d’opposition, d’accès, de rectification, de suppression et de portabilité, les personnes concernées doivent faire une demande écrite (par voie électronique ou par courrier).

 

4. Avez-vous fixé la durée de conservation des données conformément au règlement RGPD ?

Vous ne pouvez pas conserver les données indéfiniment : une durée de conservation doit être définie en fonction de la finalité de la collecte des données personnelles. À l’issue de cette période, les données concernées sont en principe effacées. Cependant, dans certains cas, les données peuvent être archivées voire anonymisées.

Dans cette optique, la CNIL (Commission nationale de l'informatique et des libertés) distingue principalement 3 durées types.

  • La durée obligatoire : il s'agit de la durée minimale ou maximale imposée par la réglementation. C'est le cas par exemple des fiches de paie qui doivent être conservées au moins 5 ans par l'employeur.
  • La durée recommandée : il s’agit d’une durée préconisée par la CNIL servant de point de repères pour mener votre analyse.
  • La durée au cas par cas : une durée spécifique peut s'appliquer aux données ne rentrant pas dans les deux précédentes catégories. Dans ce cas, la période de conservation doit être fixée à l’issue d’une analyse du responsable du traitement.

5. Garantissez-vous la sécurité des données collectées ?

Comme toutes les entreprises, les TPE et PME ont l’obligation de respecter la réglementation sur la protection des données personnelles pour se protéger notamment contre le risque de perte et de piratage. À cette fin, la CNIL recommande la mise en place de mesures de sécurité : mettre à jour vos logiciels, modifier régulièrement vos mots de passe, voire chiffrer les données personnelles pour les informations les plus sensibles.

Pour vous faciliter la tâche, la CNIL met à votre disposition un questionnaire d'autoévaluation du niveau de sécurité des données personnelles. Il vous permet d'identifier les interventions indispensables pour atteindre un niveau de sécurité élémentaire.

Pour aller plus loin : le guide pratique de sensibilisation au RGPD pour les TPE et PME

Le saviez-vous ? Conçue pour les TPE et PME, l'assurance Generali Protection Numérique vous accompagne pour garantir votre cybersécurité.

Sources :
(1) Le rapport annuel 2022 de la CNIL - CNIL - 2023
(2) Baromètre sur la cybersécurité des entreprises françaises - Cesin - 2023

 

A lire aussi

Conformité au RGPD : comment rattraper votre retard ?

Le RGPD s'applique à toutes les entreprises européennes qui traitent des données personnelles. La phase de clémence de la part de la CNIL est désormais écoulée et il est urgent pour toutes les entreprises de s'assurer de leur conformité.

E-commerce et RGPD : gagner la confiance des clients

Par l’intermédiaire des cookies et des techniques marketing, les sites de e-commerce recueillent et analysent en permanence de nombreuses données des internautes. L’entrée en application du RGPD oblige les e-commerçants à revoir le traitement de ces informations.

Le RGPD : un enjeu aussi pour les TPE !

Le règlement général sur la protection des données (RGPD) renforce les droits des citoyens européens sur la maîtrise de leurs données personnelles.

Partager

Informations non-contractuelles données à titre purement indicatif dans un but pédagogique et préventif. Generali ne saurait être tenue responsable d’un préjudice d’aucune nature lié aux informations fournies.

Actualités

Toute l'actualité

VOS ENJEUX

NOTRE EXPERTISE

L'ACTUALITÉ