Sommaire
Données personnelles et RGPD : de quoi s’agit-il ?
Toute information se rapportant à une personne physique, identifiée ou identifiable, est une donnée personnelle. Une personne peut être identifiée :
directement, par exemple par son nom et son prénom ;
indirectement, par un identifiant (n° de client, n° de téléphone, n° de Sécurité sociale), une donnée biométrique, des éléments spécifiques à son identité physique, génétique… ou le croisement de plusieurs données (adresse postale, date de naissance, etc.)(1).
Les données personnelles peuvent avoir un caractère sensible, comme c’est le cas lorsqu’il s’agit de données relatives à la santé d’une personne. Les données personnelles traitées par les entreprises peuvent être celles de clients et prospects, mais aussi celles de salariés et fournisseurs.
Un traitement de données personnelles est une opération, ou un ensemble d’opérations, portant sur des données personnelles, quel que soit le procédé utilisé : collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission, diffusion ou toute autre forme de mise à disposition...
Afin de garantir le respect de la vie privée des personnes, les données personnelles font l'objet d'une protection particulière par la loi.
Ce que dit le RGPD
L’entrée en application du Règlement Général sur la Protection des Données (RGPD) le 25 mai 2018 a renforcé les obligations en matière de protection des données personnelles. Tous les organismes (privés et publics) doivent mettre en place une organisation adaptée à leur taille et aux risques liés aux traitements des données personnelles qu’ils mettent en œuvre. Ces risques sont évalués en fonction des traitements réalisés, du volume des données personnelles traitées ou encore de leur sensibilité.
Le RGPD, qui harmonise au niveau européen la réglementation sur la protection des données personnelles, a pour objectif de protéger les personnes physiques à l’égard du traitement de leurs données personnelles, en particulier contre la collecte de leurs données à leur insu.
Chef d’entreprise, le RGPD s’applique ainsi dès lors que(1) :
votre entreprise, établie sur le territoire de l’Union Européenne, met en œuvre un traitement de données personnelles pour son propre compte, en définit les objectifs et les moyens ;
votre entreprise, établie sur le territoire de l’Union Européenne, réalise un traitement de données à caractère personnel pour le compte d’un autre organisme, en qualité de sous-traitant au sens du RGPD ;
votre entreprise fait appel à un sous-traitant établi sur le territoire de l’UE pour traiter des données personnelles ;
les activités de traitement sont liées à une offre de biens ou de services à destination de personnes situées sur le territoire de l’UE ou au suivi du comportement de personnes situées sur le territoire de l’UE, si votre responsable du traitement de données ou votre sous-traitant ne sont pas établis sur le territoire de l’UE.
Quelles sont vos obligations au titre du RGPD ?
Qu’elle agisse en qualité de responsable de traitement ou de sous-traitant, votre entreprise est soumise à̀ une obligation de protection des données personnelles qu’elle traite.
Pour vous mettre en conformité avec le RGPD, vous devez mettre en œuvre une organisation adaptée à̀ la taille de votre entreprise et à la sensibilité des données personnelles traitées. Il vous incombe notamment de :
Mettre en place une gouvernance et de désigner un Délégué à la Protection des données (DPO), si vous traitez des données sensibles ou si votre activité vous amène à réaliser un suivi régulier et systématique des personnes à grande échelle. Si ce n’est pas le cas de votre entreprise, la Commission Nationale de l’Informatique et des Libertés (CNIL) recommande également fortement la désignation d'un DPO.
Ne collecter que les données vraiment nécessaires à l’atteinte de vos objectifs.
Tenir un registre listant les traitements de données et permettant de démontrer votre conformité au RGPD. Ce registre doit recenser, entre autres : les objectifs poursuivis par chaque traitement ; les catégories de personnes concernées et de données utilisées et à qui elles sont communiquées ; les durées de conservation de ces données ; les mesures de sécurité envisagées et, le cas échéant, les transferts de données à caractère personnel en dehors de l’UE ou à une organisation internationale.
Faire régulièrement le tri dans les données que vous traitez selon leur pertinence, leur nature, les personnes y ayant accès, leur durée de conservation…
Toujours respecter les droits des personnes concernées par le traitement de données personnelles, en les informant notamment des conditions d’utilisation et en leur permettant d’exercer le plus simplement possible leurs droits (d’accès, de rectification, d’opposition, d’effacement, à la portabilité et à la limitation, en fixant notamment les durées de conservation des données).
Sécuriser les données par la mise en œuvre de mesures techniques et organisationnelles : charte informatique ; protection de votre site Internet, de vos comptes et profils utilisateurs ; mise en place et gestion des habilitations ; procédures de sauvegardes régulières et de récupération des données, sécurisation physique des données contenues dans des documents papier…
Prendre en compte les enjeux liés à la protection des données dès la phase de conception du produit ou du service et par défaut…
Les risques encourus
En cas de non-respect du RGPD
En cas de manquement aux obligations du RGPD dans le cadre de votre activité, la CNIL peut prononcer l’une ou plusieurs des mesures suivantes :
Un rappel à l'ordre ;
Une injonction de se mettre en conformité. Cette injonction peut être assortie d'une astreinte dont le montant est plafonné à 100 000 € par jour de retard(2);
Une amende administrative pouvant s’élever jusqu’à 20 millions d’euros ou 4% de votre chiffre d’affaires annuel mondial ;
Une limitation temporaire ou définitive du traitement des données, son interdiction ou le retrait d'une autorisation ;
Le retrait d'une certification ;
La suspension des flux de données adressées à un destinataire situé dans un pays tiers ou à une organisation internationale ;
Une suspension partielle ou totale de la décision d'approbation des règles d'entreprise contraignantes (BCR).
Au-delà, votre entreprise risque également :
Une sanction pénale pouvant atteindre 300 000 € (pour les personnes physiques) ou 1,5 million d’euros (pour les personnes morales) et 5 ans d’emprisonnement(3).
Le mécontentement des personnes concernées (clients, salariés, fournisseurs…) : de manière générale, elles sont de plus en plus sensibilisées sur les traitements de leurs données personnelles et les risques qu’ils peuvent engendrer pour leurs droits et libertés. Elles n’hésitent plus à interroger les organismes sur la manière dont sont traitées leurs données personnelles et à exprimer publiquement leur mécontentement, voire à saisir la CNIL.
Un préjudice d’atteinte à l’image et à la réputation : l’image d’une entreprise ne respectant pas ses obligations en matière de protection des données personnelles peut être fortement entachée dans l’espace public (médias, réseaux sociaux…).
En cas de cyberattaque et de violation des données personnelles
Votre entreprise est victime d’une cyberattaque et des données personnelles ont été détruites, perdues, altérées, volées ou divulguées ? Cet incident constitue une « violation de données ».
Si cette violation est susceptible de représenter un risque pour les droits et libertés des personnes concernées, vous devez la signaler à la CNIL dans les 72 h. En cas de risques élevés pour ces personnes, vous devez les en informer.
L’impact d'une attaque cyber peut s’avérer extrêmement préjudiciable. La Responsabilité Civile de votre entreprise peut être engagée en cas de « faille de sécurité » entraînant la destruction, la perte, la modification indue ou falsification, la divulgation ou l’accès non-autorisé à des données à caractère personnel lors de leur traitement. Toute personne ayant subi un dommage matériel, une perte financière et/ou un préjudice moral du fait d’une atteinte à ses données personnelles peut vous demander un dédommagement au titre de la Responsabilité Civile de votre entreprise.
Outre cette mise en cause, une cyberattaque avec violation de données personnelles peut fortement impacter l’image et la réputation de votre entreprise, occasionner une perte de chiffre d’affaires conséquente et de forts préjudices économiques pouvant aller jusqu'à l'arrêt total de votre activité. Une perte de la valeur patrimoniale et un risque accru de défaillance sont également à craindre.
À savoir
60 % des TPE/PME victimes d’une cyberattaque font faillite dans les 18 mois(4).
Comment assurer la sécurité du traitement des données personnelles ?
Pour renforcer la sécurité des données personnelles que vous traitez, il vous incombe de :
Recenser l’ensemble des traitements de données à caractère personnel au sein de votre entreprise ;
Apprécier les risques engendrés pour chaque traitement (accès illégitime, modification non désirée ou disparition des données) ;
Identifier les sources ou menaces de risques (sources humaines interne ou externe, source accidentelle ou malveillante, sources non humaines) ;
Mettre en œuvre les mesures de sécurité appropriées pour garantir la disponibilité, la confidentialité et l’intégrité des données personnelles ;
Minimiser les risques de pertes ou de piratage grâce à l’adoption de mesures de prévention adaptées;
Supprimer les données personnelles qu’il n’est plus nécessaire de traiter (expiration des durées de conservation, données devenues obsolètes ou non nécessaires au traitement…).
Pour chaque traitement de données personnelles, il convient ainsi de répondre aux questions(5) :
Qui ? Identifiez les responsables des services opérationnels traitant les données et établissez la liste de vos sous-traitants ;
Quoi ? Identifiez les opérations de traitement réalisées ainsi que les catégories de données traitées, en particulier les données susceptibles de soulever des risques en raison de leur sensibilité (par exemple, des données relatives à la santé) ;
Pourquoi ? Indiquez la ou les finalités pour lesquelles vous collectez ces données (par exemple, une relation commerciale) ;
Où ? Déterminez les lieux où sont stockées les données et indiquez le pays vers lesquels elles sont éventuellement transférées ;
Combien de temps ? Indiquez le temps de conservation des données et prévoyez de purger les données une fois ces durées de conservation arrivées à échéance ;
Comment ? Précisez les mesures de sécurité mises en œuvre pour minimiser les risques ;
Quelles personnes concernées ? Vérifiez que les personnes concernées ont bien été informées des traitements effectués sur leurs données personnelles et des droits dont elles disposent.
Mise en cause de votre Responsabilité Civile suite à une violation de données personnelles : l’accompagnement de Groupama
Dirigeant, si vous exploitez des données à caractère personnel et que vous êtes victime d’une cyberattaque, vous pourriez être contraint d’indemniser vos clients et/ou fournisseurs en cas de violation de ces données.
Face à ce risque, notre assurance Cyber Up vous protège. La garantie « Cyber Responsabilité », incluse dans notre contrat d’assurance, couvre notamment les frais de défense et conséquences pécuniaires de la Responsabilité Civile en cas de réclamation d’un tiers pour soustraction frauduleuse des données à caractère personnel placées sous votre garde.
En cas d’attaque informatique, avec la garantie « Gestion de crise » prévue au contrat, vous êtes également accompagné par une équipe de consultants juridiques (qui vous aident à répondre à vos obligations réglementaires) et d’experts en cybersécurité (qui établissent avec vous un diagnostic afin de prendre les mesures d’urgence nécessaires).
Assuré Groupama
En cas d’incident ou d’acte de malveillance occasionnant une violation de données personnelles, contactez sans délai votre conseiller Groupama, il saura vous conseiller et vous accompagner.
Nos conseillers à l'écoute pour vous aider
Entreprises
Cyber assurance
Découvrir notre offreAvec notre assurance cyber risques, protégez l’activité de votre entreprise contre les conséquences des atteintes à vos données et systèmes d’information.
Groupama vous conseille
Pros, TPE & Entreprises
Cyberattaques
Comment les TPE/PME peuvent-elles se préparer face à la menace croissante ?
Pros, TPE & Entreprises
Risques cyber en entreprise
Quelles sont les bonnes pratiques et mesures de prévention ?
Pros & TPE
Site Internet et réglementation
Comment s’assurer que votre site web est conforme à la réglementation ?
Mentions légales et informatives
Pour les conditions et les limites des garanties et des services présentés, se reporter au contrat ou voir auprès de votre conseiller Groupama.
Aide et contact
Je réponds à vos questions