Votre entreprise traite des données personnelles notamment de clients, de salariés, de fournisseurs, de prospects ou bien travaille avec des sous-traitants. Le Règlement général européen sur la protection des données (RGPD), en vigueur depuis le 25 mai 2018, encadre et sécurise le traitement de ces données. Conformément à la législation applicable, vous êtes tenu de vous mettre en conformité et de protéger vos données.
Vos activités vous amènent à utiliser des milliers de données sans même que vous en ayez conscience. Pour être en conformité avec le RGPD, traiter et sécuriser ces données est essentiel. Pour cela, votre entreprise doit peut-être revoir en profondeur ses process de création et d’administration des fichiers qui contiennent des données à caractère personnel, à défaut de quoi vous pourriez risquer de lourdes sanctions en cas notamment de fuite ou de vol de données.
Données personnelles : de quoi parle-t-on ?
La Commission nationale de l’informatique et des libertés (Cnil) définit une donnée personnelle comme « toute information se rapportant à une personne physique identifiée ou identifiable »(1). L’identification d’une personne peut être directe avec son prénom et nom ou indirecte à partir d’un identifiant ou d’un numéro par exemple. Un traitement de données personnelles désigne toute opération portant sur des données personnelles : collecte, enregistrement, extraction, consultation… Un traitement de données personnelles n’est pas nécessairement informatisé. Les fichiers papier sont également concernés et doivent être protégés. Un traitement de données doit répondre à un objectif légal et légitime au regard de votre activité professionnelle.
Qu’est-ce que le RGPD et qui est concerné ?
Le Règlement général européen sur la protection des données (RGPD) encadre le traitement des données personnelles sur le territoire de l’Union européenne et s’applique à toute organisation, publique et privée, qui traite des données personnelles pour son compte ou non, dès lors :
- qu’elle est établie sur le territoire de l’Union européenne ;
- que son activité cible directement des résidents européens.
Le RGPD concerne aussi les sous-traitants qui traitent des données personnelles pour le compte d’autres organismes. Vous êtes donc également soumis au RGPD si vous traitez ou collectez des données pour le compte d’une autre entité.
Vos obligations de chef d’entreprise portent notamment sur la sécurité des données. Vous devez être en mesure de garantir conformément à l’article 32 du Règlement notamment :
- la confidentialité des données en prévenant la fuite ou le vol de données ;
- la disponibilité des données en permettant l’accès à celles-ci ;
- l’intégrité des données en assurant la non-altération de ces dernières.
Ne négligez pas les risques car les menaces sont nombreuses et peuvent venir de toutes parts :
- une cyberattaque ou un piratage externe ;
- un acte de malveillance d’un salarié ou ex-salarié ;
- une panne informatique ;
- une erreur humaine comme une mauvaise manipulation entraînant la suppression ou la modification accidentelle de données…
Transformez vos contraintes en avantages pour votre entreprise
Le RGPD soumet votre entreprise à des obligations nouvelles que vous pouvez transformer en atouts :
- le respect des droits et de la vie privée permet de valoriser votre image de sérieux et d’accroître la confiance de vos clients ;
- la mise à jour des données et l’exactitude des fichiers est un bon moyen de renforcer l’efficacité de vos actions commerciales ;
- le recueil, la mise à jour et la sécurisation des données améliorent la gestion de votre entreprise ;
- la sécurisation des données personnelles est l’occasion de réaliser un audit complet de sécurité informatique pour prévenir les failles et les attaques même si les risques ne peuvent être écartés totalement.
Protection des données personnelles et mise en conformité RGPD : plan d’actions
- Désignez un pilote pour gérer le sujet au sein de votre entreprise.
- Créez un registre de vos traitements de données.
- Définissez vos besoins pour trier vos données et ne collecter que les informations pertinentes et essentielles à votre activité.
- Précisez votre politique de traitement des données sur tous vos supports.
- Mettez en place un processus pour gérer les droits d’accès, de rectification et d’opposition de leurs données personnelles par vos clients, salariés et prestataires.
- Mettez en place une cyber hygiène de base et les outils nécessaires pour garantir la sécurité des données de votre entreprise : contrôle d’accès (politique de mots de passe, compte administrateur…), gestion des mises à jour de sécurité, sauvegarde des données…
- Sensibilisez et formez vos collaborateurs aux risques cyber.
Ce plan d’actions vous permettra de vous orienter vers une mise en conformité à la législation applicable en matière de protection des données. Ne prenez pas ce règlement à la légère car les sanctions encourues peuvent être lourdes pour votre entreprise. Les amendes administratives peuvent s’élever, selon la catégorie de l’infraction, à 10 ou 20 millions d’euros ou bien de 2 % jusqu’à 4 % du chiffre d’affaires annuel mondial de votre entreprise(2). Des sanctions pénales allant jusqu’à 300 000 euros d’amende et 5 ans d’emprisonnement peuvent également être encourues.
Votre entreprise stocke, traite ou transmet des données ? Face au risque de fuite ou de perte de données, bénéficier d’une assurance contre les risques numériques est fortement recommandée !
Notre contrat Abeille Cyber Sécurité assure la pérennité de votre entreprise en cas de cyberattaque, en vous proposant une protection efficace : assistance et gestion de crise par des experts en cybersécurité, couverture étendue de vos biens immatériels (frais de remise en état et restauration des données, perte d’exploitation…), défense efficace de vos intérêts en cas de mise en cause de votre responsabilité et prise en charge des conséquences pécuniaires, y compris des sanctions administratives légalement assurables (CNIL…).
Contactez votre agent général Abeille Assurances pour en savoir plus !
(1) CNIL, « RGPD : de quoi parle-t-on ? », avril 2018.
(2) CNIL, « Sanction ».
Document non contractuel à caractère publicitaire à jour le 28/05/2024