RGPD : La tenue d’un registre sera obligatoire pour toute PME

Qu’on se le dise, le règlement européen sur la protection des données à caractère personnel (1) (RGPD) est déjà en vigueur depuis avril 2016 ! Ce règlement entrera en application le 25 mai 2018 sans autre formalité et les sanctions administratives pourront être prononcées à partir de cette date (jusqu’à 10 à 20 millions d’euros ou 2à 4% du chiffre d’affaires annuel mondial ) !
 
C’est donc le moment ou jamais pour toute PME de prendre les devants et ce d’autant qu’une mise en conformité avec le RGPD s’impose dans les meilleurs délais au regard des nombreuses obligations qui repose sur le responsable de traitement (un chapitre entier du RGPD) avec le nouveau principe d’accountability (ou responsabilisation)    
 
Le législateur a différé l’application du RGPD de deux années supplémentaires uniquement pour laisser le temps à tout organisme, public ou privé, de mettre en œuvre les mesures techniques et organisationnelles exigées par le règlement pour s’assurer que leurs traitements de données personnelles (existants ou en projet) seront en conformité avec le RGPD et surtout être en mesure de le démontrer !
 
La catégorie petites et moyennes entreprises (PME) (2) représente la majorité du tissu économique français, et chaque PME sera impactée par le RGPD dès lors qu’elle répondra aux 3 questions suivantes :
 
  • Mon projet informatique constitue-t-il bien un traitement de données à caractère personnel soumis au RGPD?
 
Le RGPD va s’appliquer à tout traitement de données à caractère personnel, automatisé ou non.
 
A cet égard, il faut préciser qu’au fil des ans, les notions de traitement et de donnée personnelle sont devenues particulièrement larges, et donc difficile pour une PME de passer à travers les mailles du filet du règlement!
 
  • Suis-je bien responsable de traitement au sens du RGPD ?
 
Le RGPD prévoit de nombreuses obligations à la charge de la PME responsable de traitement ; il est donc indispensable de l’identifier in concreto le « donneur d’ordre » sur lequel reposera le principe essentiel du RGPD, l’acccountability (responsabilisation). Pour la PME, plus de formalités préalables à la CNIL en échange de plus de responsabilité !
 
  • Le RGPD s’applique-t-il à mon traitement ?
 
Le RGPD s’applique pour tout traitement de données personnelles dans le cadre de l’activité d’une PME située en Europe (que le traitement est lieu ou non en Europe) OU pour tout traitement de données personnelles qui cible des résidents européens et que ce traitement est lié à une offre de biens & services ou au suivi de leur comportement (y compris le profilage). (Que le responsable de traitement soit établi ou non en Europe)
 
Face à l’échéance si proche, la PME peut utiliser comme fil conducteur la méthodologie en 6 étapes publiée par la CNIL (3) ;  l’étape préalable étant le recensement des traitements de données mis en œuvre par la tenue d’un registre.
 
Jusqu’à présent, la désignation d’un CIL (Correspondant informatique et libertés) par le responsable de traitement lui permettait d’être exonéré de déclarations à la CNIL pour les traitements qui relèvent de la déclaration normale ou d’une norme simplifiée.  En contrepartie de cette dispense, le CIL devait tenir à jour un registre des traitements.
 
Avec le principe d’accountability du RGPD, la tenue d’un registre sera obligatoire pour toute PME par son responsable de traitement (et le cas échéant, le sous-traitant pour le compte du responsable de traitement) ; l’exonération de la tenue d’un registre pour une organisation comptant moins de 250 salariés concerne uniquement un traitement occasionnel, autant dire aucun !
 
Ainsi, seule la PME qui aura engagée une réelle démarche de mise en conformité à la réglementation RGPD sera en réalité plus protégée contre les risques de sanction en déployant les mesures techniques et organisationnelles mais aussi des mesures de sécurité et de confidentialité adéquates qu’exige le règlement.
 
Donc plus de temps à perdre pour la PME …
 
 
(1) Règlement 2016/679/UE du 27-4-2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données).
 
(2) Définition INSSEE PME : « entreprises qui occupent moins de 250 personnes, et qui ont un chiffre d’affaires annuel inférieur à 50 millions d’euros ou un total bilan n’excédant pas 43 millions d’euros ».
 

(3) Règlement en 6 étapes – CNIL mars 2017 
 
Auteur: 
Nathalie Chiche - nathalie@chiche.com | @natchiche

Ajouter un commentaire

Full HTML

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Vous pouvez utiliser du code PHP. Vous devrez inclure les tags <?php ?>.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Filtered HTML

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd>
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.