Entré en application le 25 mai dernier, le RGPD (Règlement général sur la protection des données) constitue l’une des plus grandes évolutions de la législation sur la protection de la vie privée. Un bouleversement qui ne sera pas sans conséquence pour les entreprises. Les explications de Christophe Chevalley, directeur général chez Europe Rocket Lawyer.
Comment appliquer la loi RGPD et s’assurer d’être conforme ?
La première chose indispensable est d’analyser les données personnelles qui sont collectées dans l’entreprise et comment elles sont utilisées. Une donnée personnelle, c’est toute information qui peut être reliée à une personne. Par exemple le prénom/nom d’une personne, son adresse, son mail, son numéro de téléphone, son sexe, ses études, sa famille, mais aussi ses hobbies, etc. C’est donc très large et finalement toutes les entreprises utilisent des données personnelles, au minimum pour gérer leurs salariés ou leurs clients.
Une fois qu’on y voit un peu plus clair, il faut se demander : est-ce qu’on utilise des données en grande quantité ? Est-ce qu’on utilise des données qui peuvent être sensibles ? Si c’est le cas, il est conseillé de faire appel à un avocat pour être accompagné dans la mise en conformité. Pour faciliter cette démarche, la plateforme Rocket Lawyer met en relation ses utilisateurs avec un avocat qualifié, proche de chez eux et ce pendant 30 minutes dans le cadre de l’adhésion Premium à 39,90€/mois, résiliable à tout moment. Mais la plupart des TPE/PME n’en n’ont pas besoin, elles peuvent tout à fait le faire elles-mêmes. Nous avons d’ailleurs écrit un guide accessible gratuitement pour les aider à se mettre en conformité avec le RGPD.
Quelles sont les solutions proposées par Rocket Lawyer ?
Pour les accompagner dans sa mise en place, Rocket Lawyer a mis en ligne sur sa plateforme une série de documents impactés par la RGPD. Nous offrons à tous les dirigeants de TPE/PME/associations la possibilité de se mettre en conformité en créant des documents juridiquement fiables.
Par exemple, pour le site internet des entreprises, nous proposons des mentions légales et une politique de cookies . Si elles font en plus du e-commerce, nous leur proposons des conditions générales de vente . Tout cela à jour du RGPD, ce qui leur permet d’être en conformité sur ces points. Si une entreprise a des salariés, elle va devoir leur donner un certain nombre d’informations du fait du RGPD. Nous proposons un document pour remplir l’ obligation d’information RGPD de l’employeur.
Enfin, beaucoup d’entreprises sous-traitent des activités qui nécessitent l’utilisation de données personnelles. Par exemple, une entreprise peut sous-traiter la gestion de ses ressources humaines à une autre entreprise. Ces entreprises vont devoir prévoir contractuellement des dispositions, d’après le RGPD, pour protéger les données personnelles dans le cadre de ce contrat et nous leur proposons un avenant protection des données personnelles RGPD pour faire ça. Et tout cela à prix raisonnables. De plus, en cas de questions juridiques, il est possible d’être mis en relation avec un avocat spécialisé à moindre coût.
Quelles sont les erreurs à ne pas commettre ?
La plus grosse erreur à ne pas commettre est de se croire dispensé d’appliquer le RGPD parce que son activité n’est pas dans le numérique et que finalement tout ça c’est juste pour Google et Facebook. Le RGPD est une législation tentaculaire qui vient réglementer plein de points auxquels on ne penserait pas de prime abord. Toutes les entreprises y sont soumises, que vous soyez une TPE/start-up de 5 salariés ou qu’une PME de 47.
Que risquent les entreprises qui ne se conforment pas (ou pas entièrement) à ces nouvelles règles ? C’est l’argument massue du RGPD. Si vous n’êtes pas en conformité, vous risquez 20 millions d’euros d’amende ou 4% du chiffre d’affaire mondial de la société. Il faut savoir que la CNIL n’attend pas impatiemment le vendredi 25 mai (jour de l’entrée en application) pour tomber sur le dos de toutes les PME qui ne seraient pas conformes.
La CNIL l’a dit clairement, il va y avoir une période de transition jusqu’à la fin de l’année pour que les entreprises se mettent en conformité. Elle ne commencera qu’en 2019 à faire sérieusement des contrôles et prendre des sanctions concernant les PME. Donc il n’est pas trop tard pour se mettre en conformité. Et, si vous ne respectez que certaines obligations du RGPD, mais pas toutes, vous risquez tout de même de vous faire (lourdement) sanctionner. C’est comme en voiture, ce n’est pas parce que vous avez mis votre ceinture, que vous avez l’autorisation pour téléphoner au volant !
Qu’est-ce que la loi va changer pour les internautes ?
Ce sont les grands gagnants du RGPD, le but est qu’ils puissent reprendre un peu le contrôle de leurs données personnelles. Concrètement les personnes qui utilisent leurs données vont devoir les informer de façon claire et approfondie de ce qu’ils font de leurs données. Cela va permettre aux internautes d’avoir une meilleure visibilité.
La grande nouveauté, c’est que l’on va pouvoir demander à récupérer ses données pour les utiliser sur un autre service, un autre site ou une autre application. Par exemple, j’en ai marre de Deezer et je veux passer à Spotify, je vais pouvoir demander à Deezer de transférer toutes mes playlists et sélections musicales à Spotify.
Sans oublier tous les droits qui existent déjà : on peut demander de recevoir une copie de ses données personnelles, de les effacer, de les modifier si elles sont inexactes. Voilà, vous savez tout (ou presque…) sur le RGPD, et n’hésitez pas à vous tourner vers Rocket Lawyer si vous avez besoin de plus d’informations et/ou de documents pour vous aider à réaliser vos démarches et respecter vos nouvelles obligations !