RGPD simplifié : Un guide pour votre petite entreprise
Découvrez tout notre contenu d'aide et d’apprentissage destiné aux petites entreprises.
Utilisation de Microsoft 365 pour les PME pour vous permettre d’atténuer et de gérer la conformité au RGPD
Le Règlement général sur la protection des données (RGPD) est une règlementation de l’Union européenne (UE) qui impose la façon dont une organisation doit traiter des données personnelles. Si votre entreprise vend, fournit des services ou emploie des citoyens de l’Union européenne, le RGPD vous affectera.
En tant qu’administrateur d’une petite entreprise, vous vous demander probablement « Comment démarrer » ? C’est particulièrement vrai si votre entreprise ne traite pas les données personnelles comme une activité centrale ou si vous débutez avec le RGPD.
Vous pouvez démarrer en examinant cet article dont le but est de vous expliquer ce qu’est le RGPD, la raison de son apparition et de quelle manière Microsoft 365 pour les PME peut permettre à votre organisation de se conformer au RGPD.
Il inclut également des réponses aux questions les plus courantes des petites entreprises sur le RGPD et met en évidence les mesures qu’une petite entreprise peut prendre pour se prépare au RGPD.
Importante
Les recommandations et solutions Microsoft 365 de cet article sont des outils et des ressources vous aidant à gérer et protéger vos données, mais elles ne sont pas une garantie de conformité au RGPD. Il vous appartient d’évaluer votre propre statut en matière de conformité. Contactez votre conseiller juridique et/ou professionnel, le cas échéant.
Une rapide vue d’ensemble du RGPD
Le RGPD est une règlementation de l’UE qui actualise et étend la Directive sur la protection des données (DPD) adoptée en 1995. Le RGPD concerne la confidentialité des données d’un individu, qu’il s’agisse d’un client, d’un usager, d’un employé ou d’un partenaire professionnel. L’objectif du RGPD est de renforcer la protection des données personnelles des citoyens de l’UE, qu’ils résident dans l’Union européenne ou dans tout autre lieu. La règlementation expose les attentes et donne des conseils sur la manière d’y répondre. Les organisations doivent avoir des mesures en place pour répondre aux exigences du RGPD.
Le RGPD concerne les données et leur utilisation. Pensez que les données ont un cycle de vie. Le cycle commence lorsque vous collectez des données, continue lorsque vous les stockez et les utilisez (traitement) et se termine lorsque vous les supprimez complètement de vos systèmes.
Le RGPD porte sur les types de données suivants :
Données personnelles : Si vous pouvez lier des données à un individu et l’identifier, ces données sont alors considérées comme personnelles en matière de RGPD. Le nom, l’adresse, la date de naissance et l’adresse IP sont des exemples de données personnelles. Le RGPD considère également les informations codées (aussi appelées informations « pseudonymisées ») comme données personnelles, qu’elles soient insignifiantes ou techniques, si celles-ci peuvent être liées à un individu.
Données personnelles sensibles Ce sont des données qui ajoutent d’autres détails aux données personnelles. Des exemples comprennent la religion, l’appartenance à une organisation syndicale, l’origine raciale, etc. Les données biométriques et l’ADN font également partie des données personnelles sensibles. Aux termes du RGPD, les données sensibles ont des règles de protection plus contraignantes que les données personnelles.
Termes du RGPD
Vous verrez des termes auxquels il est fait fréquemment référence dans le RGPD. Il est important de comprendre ces termes.
Consentement :
Le RGPD déclare : « Le traitement des données personnelles doit être conçu pour servir l’humanité . » Le RGPD espère atteindre cet objectif en utilisant le consentement lors du traitement des données personnelles. Ce peut être le simple fait de demander à vos clients s’ils souhaitent recevoir des messages électroniques de votre entreprise. Cela signifie également l’absence de cases à cocher sur votre site web lorsque vous voulez utiliser des données à des fins commerciales. Vous devez avoir un consentement explicite en utilisant une « action affirmative claire ». Et vous devez également conserver des enregistrements des consentements accordés et révoqués.
Droits des personnes concernées :
Le RGPD établit les droits de la personne concernée qui signifient que, s’agissant de leurs données personnelles, les clients, employés, partenaires professionnels, usagers, sous-traitants, étudiants, fournisseurs, etc. ont les droits suivants :
Être informés sur leurs données : Vous devez avertir les individus de votre utilisation de leurs données.
Avoir accès à leurs données : Vous devez accorder aux individus un accès à toutes leurs données dont vous êtes détenteur (par exemple, à l’aide d’un accès à un compte ou manuellement).
Demander une rectification des données : Les individus peuvent vous demander de corriger des données inexactes.
Demander la suppression des données : Également connu sous le nom de « droit d’effacement », ce droit permet à un individu de demander que leurs données personnelles collectées par une entreprise soient supprimées dans tous les systèmes qui les utilisent ou les partagent.
Demander un traitement restreint : Un individu peut vous demander de supprimer ou de restreindre leurs données. Ceci n’est toutefois applicable que dans certains cas.
Avoir une portabilité des données : Un individu peut demander que leurs données soient transférées vers une autre entreprise.
S’opposer : Un individu peut s’opposer à l’utilisation de leurs données pour divers usages, notamment la prospection.
Demander à ne pas être soumis à une prise de décision automatisée, y compris la définition de profil : Le RGPD applique des règles strictes sur l’utilisation des données pour établir le profil de personnes et automatiser les décisions en fonction de cette définition de profil.
Étapes de préparation pour le RGPD
Cette section décrit les mesures qu’une petite entreprise peut prendre pour lui permettre d’être prête pour le RGPD. La plupart des informations contenues dans cette procédure sont fournies via Sept étapes pour aider les entreprises à se préparer à l’entrée en vigueur du règlement général sur la protection des données, une publication offerte par l’Office des publications de l’Union européenne.
Un bon moyen pour une petite entreprise de prendre en main le RGPD est de veiller à appliquer les principes clés suivants lors de la collection de données personnelles :
- Recueillez des données personnelles avec des objectifs clairement définis pour leur utilisation et ne les utilisez pas pour une autre raison. Par exemple, si vous demandez à vos clients de vous fournir leur adresse e-mail pour qu’ils reçoivent de nouvelles offres et promotions, vous pouvez uniquement utiliser leur adresse de courrier à cette seule fin.
- Ne recueillez pas plus de données que nécessaire. Par exemple, si vous entreprise nécessite une adresse pour la livraison d’articles, vous avez besoin du nom et de l’adresse du client, mais vous n’avez pas besoin de la situation de famille de la personne.
Étape 1 : être au fait des données personnelles que vous collectez et utilisez dans votre entreprise, et des raisons dont vous en avez besoin
En tant que petite entreprise, l’une des premières étapes que vous devez prendre est de faire un inventaire des données personnelles que vous collectez et utilisez au sein de votre entreprise, et pourquoi elles sont nécessaires. Ceci inclut les données sur vos employés et vos clients.
Par exemple, vous pouvez avoir besoin des données personnelles de votre employé pour le contrat de travail et pour ces raisons juridiques (à titre d’exemple, pour la déclaration d’impôts à l’administration fiscale).
Un nouvel exemple peut être que vous gérez des listes de clients individuels pour leur envoyer des annonces sur des offres spéciales, s’ils y ont consenti.
Fonctionnalités Microsoft 365 qui peuvent vous aider à l’étape 1
La Protection des données Microsoft Purview peut vous aider à découvrir, classer et protéger des informations sensibles dans votre entreprise. Vous pouvez utiliser des classifieurs pouvant être formés pour vous permettre d’identifier et d’étiqueter des types de documents contenant des données personnelles.
Étape 2 : informez vos clients, employés et autres individus que vous devez collecter leurs données personnelles
Les particuliers doivent savoir que vous traitez leurs données personnelles, ainsi que le but. Par exemple, si un client doit créer un profil client pour accéder à au site en ligne de votre entreprise, veillez à déclarer spécifiquement ce que vous avez l’intention de faire avec leurs informations.
Il n’est cependant pas nécessaire d’informer des individus lorsqu’ils savent déjà comment vous utilisez les données. Par exemple, lorsqu’ils vous fournissent une adresse de domicile pour la livraison qu’ils ont commandée.
Vous devez également pouvoir informer les particuliers, sur demande, à propos des données que vous détenez les concernant et fournir un accès à leurs données. L’organisation de vos données facilite leur fourniture, le cas échéant.
Étape 3 : ne conserver les données personnelles que le temps nécessaire
Pour les données des employés, conservez-les pendant toute la durée de l’emploi et pour les obligations légales associées. Pour les données client, conservez-les pendant toute la durée de la relation commerciale et pour les obligations légales associées (par exemple, à des fins fiscales). Supprimez les données devenues inutiles quant aux fins de votre collecte.
Fonctionnalités Microsoft 365 qui peuvent vous aider à l’étape 3
Les Étiquettes et stratégies de rétention peuvent être utilisées pour vous aider à conserver des données personnelles pendant un certain temps, puis supprimez-les lorsqu’elles deviennent inutiles.
Étape 4 : sécuriser les données personnelles que vous traitez
Si vous stockez des données personnelles dans un système informatique, limitez l’accès aux fichiers contenant les données par un mot de passe fort, par exemple. Mettez régulièrement à jour les paramètres de sécurité de votre système.
Remarque
Le RGPD ne prescrit pas l’utilisation d’un système informatique spécifique, mais observe que le système doit avoir un niveau de sécurité approprié. Voir Article 32 du RGPD : sécurité du traitement pour obtenir plus d’informations.
Si vous stockez des documents physiques avec des données personnelles, vérifiez qu’elles ne sont pas accessibles aux personnes non autorisées.
Si vous décidez de stocker des données personnelles dans le cloud, tel que via Microsoft 365, vous disposez de fonctionnalités de sécurité telles la possibilité de vous aider à gérer les autorisations vers des fichiers et des dossiers, des emplacements sécurisés et centralisés pour enregistrer vos fichiers (bibliothèques de documents OneDrive ou SharePoint) et un chiffrement de données lors de l’envoi et de la récupération de vos fichiers.
Fonctionnalités Microsoft 365 qui peuvent vous aider à l’étape 4
Vous pouvez utiliser configurer les fonctionnalités de conformité pour protéger les informations sensibles de votre entreprise. Le Gestionnaire de conformité peut vous aider à commencer immédiatement ! Par exemple, vous pouvez créer et déployer des stratégies de protection contre la perte de données qui utilisent le modèle RGPD.
Étape 5 : conserver la documentation sur vos activités de traitement des données
Préparez un bref document expliquant les données personnelles que vous conservez et la raison. Il peut vous être demandé de mettre la documentation à la disposition de votre autorité nationale de protection des données, le cas échéant.
Ces documents doivent inclure les informations répertoriées ci-dessous.
Informations | Exemples |
---|---|
Objectif du traitement de données | Informer les clients sur des offres spéciales telles que la fourniture de livraison à domicile, le règlement des fournisseurs, des salaires et de la couverture de sécurité sociale pour les employés. |
Types de données personnelles | Informations sur le contact client, informations sur le contact fournisseur, données employé |
Les catégories de personnes concernées | Employés, clients et fournisseurs |
Catégories de destinataires | Autorités du travail, autorités fiscales |
Périodes de stockage | Les données personnelles des employés jusqu’à la fin de leur période d’emploi (et obligations légales associées), les données personnelles des clients jusqu’à la fin de la relation commerciale/client |
Mesures de sécurité techniques et organisationnelles pour protéger les données personnelles | Solutions de système informatique régulièrement mises à jour, emplacement sécurisé, contrôle d’accès, chiffrement de données, sauvegarde de données |
Si les données personnelles sont transférées vers des destinataires hors de l’Union européenne | Utilisation d’un sous-traitant hors de l’Union européenne (par exemple, stockage dans le cloud), emplacement des données chez le sous-traitant, engagement contractuel |
Vous pouvez trouver les engagements contractuels de Microsoft au sujet du RGPD dans l’Addendum relatif à la Protection des Données des Services en Ligne qui décrit les engagements de Microsoft concernant la protection et la sécurité des données, les conditions de traitement des données et les Conditions relatives au RGPD pour les services hébergés par Microsoft auxquels souscrivent les clients dans le cadre d’un contrat de licence en volume.
Étape 6 : vérifier que vos sous-traitants respectent les règles
Si vous sous-traitez le traitement des données personnelles à une autre entreprise, utilisez uniquement un fournisseur de services qui garantit le traitement en conformité avec les exigences du RGPD (par exemple, les mesures de sécurité).
Étape 7 : affecter une personne pour la supervision de la protection des données personnelles
Pour mieux protéger les données personnelles, les organisations devront peut-être nommer un Délégué à la protection des données (DPO). Toutefois, vous n’aurez peut-être pas besoin de nommer un Délégué à la protection des données si le traitement des données personnelles ne fait pas partie intégrante de votre entreprise ou si vous êtes une petite entreprise. Par exemple, si votre entreprise collecte uniquement des données sur vos clients pour la livraison à domicile, vous n’aurez pas besoin de nommer un DPO. Même si vous devez utiliser les services d’un DPO, ces fonctions peuvent être assignées à un employé existant, en supplément de ses fonctions courantes. Vous pouvez également décider d’embaucher un consultant extérieur pour cette fonction, le cas échéant.
Vous n’avez généralement pas besoin d’effectuer une Analyse d'impact relative à la protection des données. Celle-ci est destinée aux entreprises présentant plus de risques en matière de données personnelles (par exemple, si elles effectuent une surveillance à grande échelle d’une zone accessible au public telle que la surveillance vidéo).
Si vous êtes une petite entreprise gérant les salaires des employés et une liste de clients, vous n’avez typiquement pas besoin d’effectuer une Analyse d'impact relative à la protection des données.
Questions de PME courantes relatives au RGPD
Je suis le seul propriétaire. Dois-je vraiment me soucier du RGPD ?
Le RGPD a trait aux données que vous traitez, et non au nombre d’employés que vous avez. Il affecte les entreprises de toute taille, y compris les propriétaires uniques. Néanmoins, les entreprises de moins de 250 employés ont quelques exemptions, telles qu’une consignation réduite des enregistrements, mais uniquement si vous êtes sûr que le traitement des données n’affecte pas les droits de l’individu et qu’il s’agit d’un traitement occasionnel.
À titre d’exemple, le traitement de données non personnelles sera exempt ou nécessite des mesures réduites. Cependant, si vous traitez des données considérées comme étant des « données sensibles de catégories spéciales », même s’il s’agit d’une action occasionnelle, vous devrez enregistrer ce traitement de données. La définition de « traitement occasionnel » est vague, mais il est destiné à s’appliquer aux données utilisées une fois ou exceptionnellement.
Il est également recommandé de vérifier que les données personnelles collectées sont protégées. Cela signifie que vous devez les chiffrer et vérifier que leur accès est contrôlé à l’aide d’un mot de passe au minimum. La conservation sans protection des données de votre client sur un tableur de votre ordinateur de bureau ne répondra pas aux attentes du RGPD.
Comment puis-je déterminer que le site web de notre entreprise est conforme au RGPD ?
La première question à vous poser est celle-ci : Collectez-vous des données personnelles n'importe où sur votre site ? Par exemple, vous pouvez avoir un formulaire de contact qui demande un nom et une adresse e-mail. Si vous souhaitez envoyer des courriers commerciaux, veillez à ajouter une case à cocher « accepter » qui expliquera exactement la raison pour laquelle vous utiliserez les données. Vous ne pouvez utiliser les données personnelles d’un destinataire à des fins commerciales que s’il coche la case.
En outre, vérifiez que la base de données stockant les données est protégée. Votre entreprise d’hébergement web ou votre vendeur de stockage cloud pourra vous conseiller sur ce sujet. Si vous utilisez Microsoft 365 pour PME, le stockage des données est conforme au RGPD.
Mon entreprise est située en dehors de l’Europe. Le RGPD nous affecte-t-il réellement ?
Le RGPD est une règlementation qui protège les citoyens de l’UE. Si votre entreprise négocie avec les citoyens de l’UE maintenant, ou vous l’espérez dans le futur, vous serez affecté. Ceci s’applique aux citoyens vivant dans un pays de l’UE et ceux vivant ailleurs.
Prenons les exemples suivants :
Une entreprise américaine qui effectue de la location de véhicules à des citoyens de l’UE devra répondre aux exigences du RGPD lorsqu’elle collecte et traite les données de clients. L’entreprise devra avoir un consentement lorsqu’elle prend les données d’un client et veiller à ce que les données soient stockées de manière sécurisée. Elle devra également s’assurer que le client peut appliquer tous ses droits de la personne concernée.
Une entreprise australienne vend des produits en ligne et ses utilisateurs configurent des comptes sur Internet. Le consentement et les droits de la personne concernée du RGPD seront appliqués aux citoyens de l’UE qui ouvrent un compte. L’entreprise devra s’assurer que le client peut appliquer tous ses droits de la personne concernée.
Une organisation caritative internationale collecte des données sur ses donateurs et les utilise pour envoyer des mises à jour et des demandes de dons. Le RGPD indique : « ... le traitement des données personnelles à des fins de marketing direct peut être considéré comme effectué dans un intérêt légitime. » Toutefois, il incombe à l’organisation de prouver que ses intérêts l’emportent sur ceux de la personne concernée. L’entreprise (ou, dans le cas présent, l’organisation caritative) doit toujours obtenir un consentement éclair, explicite et préalable.
Le RGPD s’applique également si les données client circulent entre des pays. Si vous utilisez le cloud computing pour le stockage des données, vous devrez veiller à ce que le service soit pleinement conforme au RGPD. Le stockage de données peut devenir compliqué lorsque le stockage de données se situe dans des localisations ayant des performances médiocres en matière de protection des données. Si vous utilisez Microsoft 365 pour les PME, nous avez la documentation légale appropriée en place pour couvrir les besoins du RGPD.
Assurément, je collecte des données, mais d’autres entreprises les stockent. Est-ce que cela me décharge de mes responsabilités ?
En vertu du RGPD, vous êtes dans une certaine mesure affecté si vous collectez des données. Le RGPD intègre le concept d’un sous-traitant de données et d’un responsable du traitement des données :
Responsable du traitement des données : Un individu ou une organisation (vous pouvez avoir des co-responsables) qui décide la manière, le type et la raison des données collectées. Il peut les stocker en utilisant les serveurs cloud d’une autre entreprise. Par exemple, un site web qui collecte des données client est un responsable du traitement.
Sous-traitant de données : Un individu ou une organisation qui stocke des données pour le compte du ou des responsables du traitement et traite ces données sur demande. Par exemple, le stockage de données de Microsoft 365 Apps for business agit comme un sous-traitant de données et il est pleinement conforme au RGPD.
Une organisation ou un système peut agir en tant que responsable du traitement et de sous-traitant de données. Microsoft 365 pour les PME peut jouer les deux rôles et se conformer au RGPD.
Puis-je encore envoyer des e-mails commerciaux à mes anciens clients ?
Vous devez vous assurer que vos clients, y compris ceux que vous avez depuis des années, ont consenti à l’utilisation de leurs données à des fins commerciales. Vous pouvez avoir un consentement préalablement capturé, ainsi qu’un enregistrement qui le prouve. Si tel est le cas, vous êtes fin prêt pour continuer à proposer des services. Dans le cas contraire, vous devez obtenir l’autorisation du client pour poursuivre la commercialisation. Ceci implique généralement l’envoi d’un e-mail demandant aux clients d’accéder à votre site et de sélectionner une option pour consentir à la réception de futurs courriers.
Dois-je me soucier du RGPD lorsque j’embauche de nouveaux employés ? Qu’en est-il des employés actuels ?
Le RGPD n’affecte pas seulement les données client, il s’étend également aux données des employés. Les nouveaux employés sont souvent localisés à l’aide des plateformes de réseaux sociaux telles que LinkedIn. Vérifiez que vous ne stockez pas de données relatives à des candidats potentiels sans leur autorisation expresse.
Pour ce qui est des employés existants et des contrats concernant les nouveaux employés, une signature à la fin du contrat ne présume pas nécessairement que le consentement a été donné, surtout lorsqu’une clause non affirmative est utilisée dans un contrat. Dans ce cas, vous devez capturer le consentement d’une façon explicite correspondant à la clause. Sa signification dépend du contrat de votre employée, mais vous pouvez utiliser la mention « intérêt légitime » dans certains cas et ajouter un avis concernant le traitement des données employées pour vous assurer que vos salariés sont conscients de ce que vous ferez avec leurs données.
Satisfaire les préoccupations liées à la protection des données personnelles à l’aide de Microsoft 365 pour les PME
La mise en conformité avec le RGPD consiste à s’assurer que les données personnelles sont protégées. Le RGPD intègre un concept appelé Vie privée dès la conception et Par défaut. Cela signifie que la protection des données personnelles doit être « intégrée » au système et au produit pour que la dissipation des craintes devienne une seconde nature.
Tout comme leurs plus importants homologues, les petites entreprises ont besoin de commodité sans compromettre la sécurité. Microsoft 365 pour les PME est conçu pour les entreprises ayant moins de 300 employés. Les petites entreprises peuvent utiliser les outils Microsoft dans le cloud pour améliorer la productivité. Grâce à Microsoft 365 pour les PME, une petite entreprise peut gérer des e-mails, documentations, ainsi que des réunions et des événements. L’application dispose également d’une gestion des appareils et de mesures de sécurité intégrées qui sont d’une importance vitale pour la conformité au RGPD.
Microsoft 365 pour les PME peut vous aider avec le processus du RGPD de la manière suivante :
Découvrir : La connaissance des données dont vous disposez est une étape importante de la conformité au RGPD.
Gérer : Le contrôle d’accès aux données et la gestion de leur utilisation fait partie intégrante du RGPD. Microsoft 365 pour les PME protège les données métiers basées sur des stratégies que vous voulez appliquer aux appareils. La gestion des appareils est indispensable à une époque où les employés travaillent à distance. Microsoft 365 pour les PME comprend des fonctionnalités de gestion des appareils qui s’assurent que les données sont protégées sur tous les appareils. Par exemple, vous pouvez indiquer que tous les appareils Windows 10 de votre entreprise sont protégés via Windows Defender.
Protéger : Microsoft 365 pour les PME est conçu pour la sécurité. Ses contrôles de gestion des appareils et de protection des données fonctionnent sur votre réseau d’entreprise, notamment sur les appareils distants, pour permettre de garantir la sécurisation des données. Microsoft 365 pour les entreprises offre des contrôles tels que les paramètres de confidentialité dans les applications de productivité Microsoft 365 et le chiffrement des documents. Grâce à Microsoft 365 pour les PME, vous pouvez effectuer une surveillance de la conformité au RGPD pour vérifier que vous disposez du niveau suffisant de protection prévu.
Signaler : Le RGPD met l’accent sur la création de rapports. Si une entreprise traite de grandes quantités de données et n’a qu’un seul employé, elle est tout de même tenue de documenter et d’établir des rapports sur ses procédures. Microsoft 365 pour les PME simplifie les obligations en matière de rapports pour les petites organisations.
Des outils tels que les journaux d’audit vous permettent de suivre et d’établir des rapports sur les mouvements de données. Les rapports incluent la classification des données collectées et stockées, ce que vous faites des données et les transferts de données.
Les clients, employés et les usagers deviennent plus sensibles à l’importance de la protection des données personnelles et attendent désormais d’une entreprise ou d’une organisation qu’elle la respecte. Microsoft 365 pour les PME vous fournit les outils pour vous conformer et maintenir votre conformité au RGPD, sans provoquer de grands bouleversements dans votre entreprise.
Étapes suivantes
Pour vous préparer pour le RGPD, voici quelques suggestions relatives aux prochaines démarches à entreprendre :
Évaluez votre programme RGPD avec des Listes de vérification de préparation sur la responsabilité.
Investissez dans Microsoft 365 pour les PME en tant que solution pour vous conformer et maintenir votre conformité au RGPD.
Importante
Recevez des conseils juridiques pertinents pour votre entreprise ou votre organisation.
Ressources supplémentaires
Vue d’ensemble du RGPD du Centre de gestion de la confidentialité Microsoft
Le blog officiel de Microsoft : Engagement de Microsoft en faveur du RGPD
Sites de la Commission européenne :