Business

Petites entreprises : comment se mettre en conformité avec le RGPD ?

Si vous êtes propriétaire d’une petite entreprise ou si vous gérez une boutique de commerce électronique, vous devez vous conformer au règlement général sur la protection des données (RGPD) de l’UE. Découvrez comment une petite entreprise peut se conformer au RGPD.

Qu’est-ce que le RGPD ? Un aperçu rapide

Le RGPD (Règlement général sur la protection des données) est entré en vigueur le 25 mai 2018 et a été conçu pour renforcer les droits des résidents de l’UE concernant la manière dont les organisations traitent et utilisent leurs données personnelles.

A découvrir également : Allier déco & gain de place, c’est possible

Ces droits se résument essentiellement à deux choses : premièrement, les organisations doivent avoir un objectif clair pour la collecte des informations personnelles, et donner aux individus la possibilité d’examiner, de modifier ou de contester les pratiques de traitement des données.

Deuxièmement, les organisations doivent mettre en œuvre des mesures de sécurité pour protéger les données personnelles contre toute violation ou utilisation abusive, et elles doivent divulguer tout incident de sécurité impliquant ces données.

A lire aussi : Renault : Carlos Ghosn va rester pour renforcer l’intégration avec Nissan

Comment se conformer au RGPD pour les petites entreprises ?

Auditer vos données

Parmi les questions clés auxquelles il faut répondre, citons :

  • La localisation de l’endroit où vos données sont stockées,
  • La raison pour laquelle certains types de données personnelles sont traités,
  • La base juridique du traitement,
  • La durée de conservation des données,
  • Les personnes qui ont actuellement accès aux données personnelles et celles qui devraient y avoir accès à l’avenir,
  • Les contrôles techniques et organisationnels appropriés en place
  • Et le degré de duplication des données personnelles des clients sur plusieurs sites.

Les entreprises peuvent être amenées à réaliser des évaluations d’impact sur la protection des données avant le début d’un nouveau traitement. Cela permet de s’assurer que la protection des données par défaut et par conception est en place, un concept clé du RGPD. Cela permet également d’examiner tous les risques pour les personnes concernées par tout nouveau traitement de données.

Auditez vos prestataires de services

L’audit de la conformité de vos prestataires de services est une tâche à laquelle beaucoup d’entreprises ne parviennent pas à se conformer et c’est peut-être là que réside le risque le plus important pour votre entreprise. Vous devrez examiner vos accords avec les prestataires de services tiers qui traitent des données personnelles en votre nom et signent des accords de traitement des données. Le contrôleur de données est obligé de signer des contrats en vertu du RGPD, et le processeur de données ne peut agir que sur les instructions du contrôleur.

Le droit à l’oubli et autres droits des personnes concernées

Le RGPD introduit deux droits supplémentaires pour les personnes de l’UE qui sont couvertes par le règlement : le droit à l’oubli (effacement) et le droit à la portabilité de leurs données. Les droits des personnes concernées sont étendus dans le cadre du RGPD et sont régis par les articles 15 à 22 du RGPD. Ces droits comprennent également le droit d’accès à une copie de leurs données personnelles, le droit de rectification et de limitation du traitement et le droit de s’opposer au traitement, y compris au traitement automatisé et au profilage.

Ces droits peuvent conduire à une augmentation significative des demandes des personnes concernées dans l’Union européenne et les entreprises et organisations doivent s’assurer qu’elles sont mises en place et dotées du personnel nécessaire pour y faire face.

Responsables du traitement et sous-traitants

Vous devrez comprendre si vous entrez dans la catégorie d’un processeur de données ou d’un contrôleur de données en vertu des nouvelles directives du RGPD. Un processeur de données est une entreprise qui traite des données personnelles pour le compte d’un contrôleur. Un contrôleur de données est une entreprise qui détermine les objectifs et les moyens de traitement des données des clients. Les contrôleurs et les processeurs ont des implications différentes concernant la façon dont ils se conforment au RGPD pour les entreprises américaines, et votre entreprise pourrait être à la fois un contrôleur de données et un processeur de données.

Pour compliquer encore plus les choses, un contrôleur de données peut avoir plusieurs processeurs de données et le processeur à son tour plusieurs sous-processeurs. En vertu du nouveau règlement, le contrôleur de données est responsable des actions des processeurs de données avec lesquels il travaille sur le marché. Il est essentiel que les entreprises américaines sélectionnent soigneusement leurs sous-traitants lorsque les données des personnes concernées dans l’UE sont traitées et qu’elles signent avec eux des accords de traitement des données. Un accord de traitement des données doit régir la relation entre un responsable du traitement et un sous-traitant, puis les sous-traitants secondaires de ce dernier. L’accord doit inclure tous les aspects de la gouvernance de la protection des données et les articles 28 et 82 du RGPD détaillent ce que ces accords ou contrats doivent couvrir.