Le RGPD : la conformité des logiciels ne suffit pas

La conformité RGPD ne se résume pas à l'outil informatique, mais aussi et surtout à l'utilisation qui en est faite. Les données personnelles sont au cœur de cette réglementation, et toute faille dans leur gestion peut entraîner des sanctions sévères.

Le RGPD : la conformité des logiciels ne suffit pas
Photo by Markus Winkler / Unsplash

La conformité RGPD ne se résume pas à l'outil informatique, mais aussi et surtout à l'utilisation qui en est faite. Les données personnelles sont au cœur de cette réglementation, et toute faille dans leur gestion peut entraîner des sanctions sévères.

Pourquoi les dirigeants de PME doivent-ils s'inquiéter de la conformité RGPD ?

La conformité au Règlement général sur la protection des données (RGPD) est devenue un enjeu majeur pour toutes les entreprises, y compris les PME du secteur industriel. En effet, lorsque les données personnelles de leurs clients ou employés sont mal gérées, ces entreprises s'exposent à des risques juridiques et financiers considérables. De plus, elles peuvent subir des dommages importants à leur réputation, qui peut affecter la confiance de leurs clients et partenaires.

Néanmoins, il convient de noter que la simple utilisation de logiciels "conformes RGPD" ne garantit pas une protection complète.

Les risques de la non-conformité RGPD

Dans le monde numérique actuel, le Règlement Général sur la Protection des Données (RGPD) est une réalité incontournable pour toutes les entreprises, et en particulier pour les PME du secteur industriel. Cependant, beaucoup font l'erreur de penser que la conformité RGPD est uniquement une question de logiciels. C'est une vision réductrice qui peut entraîner des conséquences graves.

Les Risques Financiers du Non-respect du RGPD

Ignorer ou mal comprendre les exigences du RGPD peut entraîner des risques financiers substantiels pour les entreprises. Il ne suffit pas de se reposer sur les logiciels certifiés "conformes RGPD". Il faut aussi prêter attention à l'utilisation de ces logiciels et, surtout, aux données personnelles intégrées dans ces logiciels.

Les entreprises peuvent faire face à des amendes sévères en cas de non-conformité. Ces amendes sont structurées de manière à être "efficaces, proportionnées et dissuasives" : de 2 à 4% du chiffres d'affaire.

Le risque est énorme pour l'image de l'entreprise.

La communication est dans ce cas particulièrement négative, et prend vite des proportions importantes.

La violation des réglementations du RGPD peut avoir de graves conséquences pour une entreprise, allant des sanctions financières à la détérioration de la réputation. En effet, les fuites de données peuvent entraîner des réactions négatives de la part des consommateurs et des parties prenantes, qui peuvent remettre en question l'engagement de l'entreprise en matière de protection des données. Voici quelques exemples de communication négative qui peuvent survenir à la suite d'une violation du RGPD :

Que signifie la conformité RGPD pour les logiciels ?

La conformité RGPD pour les logiciels est une notion souvent mal interprétée. Beaucoup pensent, à tort, qu'il suffit d'acheter et d'utiliser des logiciels conformes au RGPD pour se conformer à ce règlement. En réalité, la conformité RGPD nécessite une approche bien plus globale et systématique. Elle ne se limite pas à l'outil en lui-même, mais s'étend à la façon dont l'outil est utilisé, en particulier en ce qui concerne les données personnelles.

Fonctionnalités indispensables à la conformité RGPD

  • Consentement explicite : Le logiciel doit être capable de recueillir le consentement explicite des utilisateurs avant la collecte de leurs données.
  • Droit à l'oubli : Les utilisateurs doivent être en mesure de demander la suppression de leurs données personnelles.
  • Portabilité des données : Les utilisateurs doivent pouvoir récupérer leurs données dans un format lisible par machine.
  • Accès aux données : Le logiciel doit permettre aux utilisateurs d'accéder à leurs données et de les modifier si nécessaire.
  • Notification de violation de données : En cas de violation de la sécurité des données, le logiciel doit être capable d'envoyer des notifications à tous les utilisateurs concernés.

Dans tous les cas, l'utilisation d'un logiciel pour gérer les traitements de données personnelles est toujours une bonne idée :

  1. En centralisant les données personnelles, vous en faciliter grandement leur gestion et leur sécurisation. Dans le cas contraire, les données sont éparpillées sur des différents postes de travail de vos collaborateurs, dans de multiples fichiers.
  2. Les logiciels gèrent nativement l'ensemble des droits que vous avez l'obligation d'offrir aux possesseurs de données personnelles : droits à l'oubli, consentement, etc.

Les mesures à prendre pour respecter les normes RGPD

Étape 1 : Audit initial et sensibilisation

  • Évaluation des données : Identifiez toutes les données personnelles que vous traitez, y compris où elles se trouvent, pourquoi vous les avez, comment elles sont utilisées et combien de temps elles sont conservées. C'est ce qui va faire votre registre des traitements. C'est la phase la plus importante : quelles sont les données personnelles que vous traitez, qu'en faites vous, quel est leur cycle de vie dans votre entreprise
  • Formation du personnel : Organisez une session de formation pour sensibiliser vos employés au RGPD et à l'importance de la protection des données personnelles. Et surtout qu'ils sachent reconnaître ce qui est ou n'est pas des données personnelles.
  • Nomination d’un Délégué à la protection des données (DPO) : Si nécessaire (en fonction de la nature et de la taille de votre entreprise), nommez un DPO pour superviser les efforts de conformité.

Étape 2 : Revue et mise à jour des processus

  • Consentement : Assurez-vous que le consentement obtenu est clair, libre et explicite. Il doit être aussi simple pour un individu de retirer son consentement qu'il l'est pour donner.
  • Accès et portabilité : Mettez en place des processus permettant aux individus d'accéder à leurs données personnelles et, le cas échéant, de les transférer à un autre fournisseur de services.
  • Effacement et rectification : Assurez-vous que les individus peuvent facilement corriger ou effacer leurs données personnelles.

Étape 3 : Sécurité des données

  • Évaluation des risques : Effectuez une évaluation des risques pour identifier les vulnérabilités potentielles dans la manière dont vous stockez ou traitez les données personnelles. Le risque s'évalue sur 2 axes : en premier la criticité des données (données de santé ou simple nom/prénom par exemple) et en second sur la volumétrie (votre liste de données concerne 10 personnes ou 10 000 personnes). Ces deux axes sont cumulatifs, et nécessitent de mettre en place des mesures adaptées.
  • Mesures de sécurité : Mettez en place des mesures de sécurité appropriées en fonction de votre évaluation des risques, comme le chiffrement des données, les mises à jour régulières des logiciels, et des protocoles stricts en matière de mot de passe.

Étape 4 : Documentation du registre registre des traitements

  • Politiques internes : Rédigez ou mettez à jour les politiques internes concernant la protection des données, la sécurité et les violations de données.
  • Registre des activités de traitement : Tenez un registre détaillé de toutes les activités de traitement des données personnelles, comme le RGPD l'exige.

Étape 5 : Gestion et signalement des violations

  • Protocoles de signalement : Mettez en place des procédures pour détecter, signaler et enquêter sur une violation de données personnelles.
  • Communication : Prévoyez des plans pour informer les parties concernées en cas de violation qui pourrait entraîner un risque pour leurs droits et libertés.

Il est important de noter que la mise en conformité avec le RGPD est un processus continu. Une fois ces étapes initiales complétées, vous devez régulièrement réévaluer et mettre à jour vos processus pour vous assurer que vous restez conforme, surtout si votre entreprise évolue ou si de nouvelles lois ou directives sont introduites.

Les erreurs courantes à éviter lors de la mise en conformité RGPD

La mise en conformité avec le RGPD est un processus complexe qui nécessite une attention méticuleuse. Voici quelques erreurs courantes que les entreprises commettent souvent lors de leur mise en conformité :

Minimiser l'importance du RGPD : Certains peuvent penser que le RGPD ne s'applique pas à eux ou que les sanctions ne seront pas appliquées. C'est une grave erreur. Les amendes pour non-conformité peuvent être élevées.

Négliger la formation du personnel : Tous les employés qui traitent des données personnelles doivent être formés sur les principes du RGPD, les droits des personnes concernées et les procédures internes.

Ne pas identifier toutes les données traitées : Certaines entreprises se concentrent uniquement sur les données client et oublient d'autres types de données, comme celles des employés.

Assumer que tous les consentements pré-RGPD sont valides : Le RGPD exige un niveau plus élevé de consentement. Les anciens consentements peuvent ne pas être suffisants.

Ne pas mettre en place de processus de gestion des droits des personnes concernées : Le RGPD donne aux individus des droits étendus, tels que le droit d'accès, de rectification et d'effacement. Ne pas avoir de processus pour gérer ces demandes est une erreur.

Penser qu’un DPO (Délégué à la protection des données) n'est pas nécessaire : Toutes les organisations ne nécessitent pas un DPO, mais beaucoup l'ignorent quand c'est le cas. Cela peut entraîner un manque d'expertise et de supervision.

Ne pas documenter ses processus : Le RGPD nécessite une approche "prouver la conformité", ce qui signifie que vous devez être en mesure de montrer non seulement que vous respectez le RGPD, mais aussi comment.

Négliger les fournisseurs et sous-traitants : Vos fournisseurs et sous-traitants doivent également être conformes au RGPD si eux aussi traitent des données pour votre compte. Vous êtes responsable de leur conformité.

Ne pas avoir de plan en cas de violation de données : La non-déclaration d'une violation de données dans les délais requis (72 heures) peut entraîner des amendes.

Ne pas effectuer d'évaluation d'impact sur la protection des données (EIPD) : Pour certaines activités à haut risque, le RGPD exige une EIPD pour évaluer et atténuer les risques pour les droits des individus.

Éviter ces erreurs nécessite une compréhension approfondie du RGPD et une stratégie proactive pour assurer la conformité. Il peut être judicieux d'envisager de faire appel à un consultant ou à un expert pour vous guider dans ce processus.

La conformité RGPD des logiciels : un faux ami pour les PME

En listant les mesures nécessaires à la mise en conformité on se rend vite compte que la conformité du logiciel ne concerne spécifiquement que deux points : la sécurité, bien sûr, et les processus de consentement.

Mais la plus part du temps, dans nos industries B2B la question du consentement est moins importante par rapport au B2C : le consentement peut être automatique car nécessaire à l'exécution du contrat du vous lie avec le client, mais il est aussi souvent couvert par l'intérêt légitime de l'entreprise. Cette notion est toujours à valider avec un avocat. Mais dans tous les cas, votre logiciel doit permettre le retrait du consentement et les procédures d'effacement pour l'exécution du droit à l'oubli.

Quelles sont les exceptions au régime du consentement ?

Le consentement est l'un des principaux fondements du RGPD pour le traitement licite des données à caractère personnel. Cependant, le consentement n'est pas toujours nécessaire. Il existe d'autres bases légales sur lesquelles les données peuvent être traitées. Voici les exceptions au régime du consentement selon le RGPD :

Exécution d'un contrat : Le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci.

Obligation légale : Le traitement est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis.

Protection des intérêts vitaux : Le traitement est nécessaire à la protection des intérêts vitaux de la personne concernée ou d'une autre personne physique. Cela peut concerner, par exemple, des situations d'urgence médicale.

Exécution d'une mission d'intérêt public : Le traitement est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement.

Intérêt légitime : Le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, sauf lorsque prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, en particulier lorsque la personne concernée est un enfant.

Protection des données dans le domaine de la santé : Dans certains cas, le traitement de données à caractère personnel relatives à la santé est permis sans consentement pour des raisons d'intérêt public dans le domaine de la santé publique, par exemple pour le contrôle des maladies contagieuses.

Recherche scientifique ou historique, ou à des fins statistiques : Dans certaines situations, le traitement à des fins de recherche scientifique ou historique ou à des fins statistiques peut être considéré comme compatible avec le but initial pour lequel les données ont été collectées.

Il est essentiel de noter que même si une entreprise se base sur l'une de ces exceptions plutôt que sur le consentement, elle doit toujours respecter tous les autres principes et obligations du RGPD, tels que le principe de minimisation des données, de transparence et d'intégrité et de confidentialité des données.

Quels exemples concrets sur les exceptions qui nous intéressent particulièrement :

Exécution d'un contrat :

  • Exemple : Un client achète un produit en ligne, et le traitement de ses données (nom, adresse de livraison) est nécessaire pour envoyer ce produit à sa maison.

Obligation légale :

  • Exemple : Une banque est tenue par la réglementation de conserver des informations sur ses clients pendant une certaine période pour des raisons de lutte contre le blanchiment d'argent.

Intérêt légitime :

  • Exemple : Une entreprise utilise les données de ses clients pour faire de la prévention de fraude. Elle peut argumenter que la prévention de la fraude est un intérêt légitime qui bénéficie à la fois à l'entreprise et au client.

Ces exemples illustrent comment, dans des situations spécifiques, les données peuvent être traitées sans le consentement explicite de l'individu, tout en restant conformes au RGPD.

Conclusion

En somme, alors que le RGPD constitue un défi tangible pour les dirigeants de PME du secteur industriel, il convient de souligner que la conformité ne se limite pas à la simple utilisation de logiciels "conformes RGPD". Il est crucial de comprendre que le respect de ce règlement implique une utilisation éthique et responsable des logiciels, notamment en ce qui concerne les données personnelles qui y sont intégrées.

Il est donc impératif pour les dirigeants d'entreprises de ne pas seulement s'appuyer sur la conformité des logiciels utilisés, mais également de veiller à l'utilisation adéquate de ces outils. Cela passe par une formation continue des employés, une sensibilisation accrue aux enjeux de la protection des données et une mise à jour constante des procédures internes.

« La conformité RGPD n'est pas une destination, mais un voyage. »

Cette notion est d'autant plus importante lorsqu'il est question de l'utilisation de logiciels CRM. Ces outils, de par leur nature même, sont amenés à manipuler une grande quantité de données personnelles. Le respect du RGPD doit donc être au cœur des préoccupations lors de leur utilisation. Nous aborderons ce sujet plus en détail dans un prochain article.