Le règlement général de protection des données (RGPD) est un texte réglementaire européen qui encadre le traitement des données personnelles sur l’ensemble du territoire de l'Union européenne (UE). Il est entré en vigueur en 2018.
Toute entité qui est amenée à traiter des données à caractère personnel de résidents européens doit se conformer au RGPD. Cela inclut, bien sûr, les entreprises, et ce quelle que soit leur taille. Les TPE et PME qui utilisent des données personnelles doivent donc respecter les dispositions du RGPD.
Si elles ne le font pas, elles s’exposent au risque d’être mises en demeure (en cas de contrôle ou de plainte), mais aussi de devoir s’acquitter d’une amende. Par exemple, tout récemment, la société Cegedim Santé s’est vue sanctionnée d’une amende de 800 000 euros pour avoir traité des données de santé sans autorisation.
Qu’est-ce qu’une donnée personnelle ?
Une donnée personnelle au sens du RGPD est « toute information se rapportant à une personne physique identifiée ou identifiable ».
Une personne peut être identifiée directement (par exemple : avec son nom, son prénom) ou indirectement (par exemple : par un identifiant, un numéro de téléphone, sa voix, son image, etc).
Ainsi, comme le rappelle la CNIL, une base marketing contenant des informations précises sur la localisation, l’âge, les goûts et les comportements d’achats de consommateurs est considérée comme un traitement de données personnelles, dès lors qu’il est possible d’identifier une personne physique en se basant sur ces informations.
Le nouveau guide du CEPD : des explications sur les grands principes et des exemples concrets
Comment choisir une base légale pour collecter et utiliser des données personnelles ? Comment éviter les violations de données ? Comment répondre aux demandes d’exercice des droits des personnes ?
À travers des vidéos, des infographies et des exemples concrets, le guide du CEPD présente des conseils simples pour aider les TPE/PME à se conformer à ce texte. Bien qu'applicable depuis 2018, celui-ci n'est pas encore entièrement respecté. C’est d’autant plus vrai dans les petites structures, qui disposent de moins de moyens et désignent rarement un Délégué à la protection des données (DPO).
Dans un premier temps, le guide propose un rappel des bases en matière de protection des données. C’est, par exemple, l'occasion de rappeler qu'un historique d'achat ou encore une référence de réservation sont des données personnelles au sens du RGPD. Dans un second temps, il liste les bonnes pratiques à mettre en place, comme le fait de ne collecter que les données personnelles nécessaires à la ou les finalités envisagées.
Il propose également des cas et exemples concrets, et s’accompagne d’une foire aux questions ainsi que d’un catalogue des ressources proposées par chaque autorité de protection des données.
Pour consulter le guide RGPD à destination des TPE/PME, c’est ici !