Ce nouveau règlement qui entrera en vigueur le 25 mai, s’inscrit dans la continuité de la Loi française « Informatique et Liberté » de 1978. Il vise à renforcer l’utilisation qui peut être faite des données personnelles des citoyens européens.
Au-delà des obligations légales, il représente une opportunité d’accélérer la maturité digitale de son entreprise, de sécuriser et protéger ses données. Respecter ce règlement contribue également à valoriser votre image d’entreprise sérieuse et responsable, afin de sceller une relation de confiance avec vos interlocuteurs.
Qui est concerné par la RGPD ?
Le RGPD s’applique à toute entreprise quelle que soit sa taille, publique ou privée, qui traite des données personnelles dès lors qu’elle est établie sur le territoire de l’Union européenne et/ou que son activité concerne des résidents européens.
Par exemple, une société établie en France, qui exporte en dehors de l’Union européenne doit respecter le RGPD. De même qu’une société de e-commerce établie en dehors de l’Union européenne et livrant des produits en France doit elle aussi respecter le RGPD.
Une donnée personnelle est toute information se rapportant à une personne physique identifiée ou identifiable ; du point de vue de la comptabilité, cela peut être notamment :
- Nom, prénom, Adresse
- N° Sécurité sociale, N° Téléphone
- Etc
On pense avant tout aux données de ses clients, mais il ne faut pas oublier ses propres données interne : celles des salariés !
En tant qu’expert-comptable, ce sujet nous concerne tout particulièrement notamment quand vous nous confier la gestion de votre comptabilité.
Comment passer à l’action ?
Entamez votre mise en conformité sans attendre. Ces actions doivent perdurer dans le temps pour être efficaces.
Passez à l’action en quelques étapes :
1 – Identifiez les activités de votre entreprise nécessitant la collecte et traitement de données (recrutement, paie, gestion clients, etc..) afin d’établir le registre listant le traitement des données pour chaque activité recensée.
Vous trouverez un modèle de registre sur le site de la CNIL.
2 – Faites le tri dans vos données.
« Je ne collecte que les données dont j’ai vraiment besoin » en éliminant de vos formulaires toutes informations inutiles.
3 – Faire respecter les droits des personnes en ajoutant des mentions d’information dans vos supports utilisés.
Car dorénavant le consentement des internautes devra être explicite. Il faudra donc proposer clairement à l’internaute d’accepter la navigation sur le site ou la refuser. Des exemples de mentions sont disponibles sur le site de la CNIL.
4 – Sécurisez vos données.
Vous êtes tenu d’assurer la sécurité des données informatiques ou physiques (papier). Les mesures à prendre dépendent de la sensibilité des données. Des actions comme mettre à jour l’antivirus, changer régulièrement de mot de passe ou chiffrer vos données dans certaines situations.
Si vous subissez une violation de données, vous devrez la signaler à la CNIL dans les 72 heures et si le risque est élevé pour les personnes concernées, vous devrez les en informer.
Quelles sont les sanctions en cas de non-respect ?
Les sanctions de la CNIL peuvent être lourdes :
Médiatiques : la CNIL peut rendre publiques les sanctions qu’elle prononce.
Pécuniaires : peuvent s’élever à 20 millions d’euros ou 4% du chiffre d’affaires.
Opérationnels : retrait d’autorisation
Pénales : jusqu’à 5 ans d’emprisonnement.
La CNIL agit pour le moment dans un esprit d’accompagnement des entreprises dans cette phase de transition vers le respect du RGPD.
Pour aller plus loin :
Pour vous aider, vous trouverez un grand nombre d’informations sur le site Internet de la CNIL.
Vous y trouverez notamment :
- une vidéo expliquant le RGPD,
- un guide pratique pour accompagner les TPE/PME,
- un modèle de registre des traitements et des modèles de mentions d’information.
En tant qu’expert comptable, et partenaire des entreprises, nous tenons à apporter un point de vigilance : la mise en conformité au RGPD peut parfois être complexe, mais rarement pour les PME, alors soyez vigilant sur certains acteurs peu scrupuleux qui profitent du RGPD pour proposer des prestations excessivement coûteuses.