Depuis le 25 mai 2018, le règlement européen sur la protection des données personnelles s’applique dans tous les états membres de l’Union Européenne. Depuis le 31 mars 2021, les nouvelles règles de gestion des cookies doivent être systématiquement appliquées sur nos sites internet.

Selon le dernier baromètre RGPD de 2021, 50% des entreprises estiment avoir un bon niveau de conformité.

D’ailleurs l’année 2021 a été une année record tant par le nombre de mesures (18 sanctions et 135 mises en demeure) que par le montant cumulé des amendes qui atteint plus de 214 millions d’euros.

Le Synaphe a donc demandé à L’avocat Philippe Bazin, spécialisé dans ce domaine, de nous faire un rappel rapide en 10 points.

  • Qui est concerné par le RPGD ?

Tout le monde, sauf les particuliers agissant pour leurs besoins domestiques.

Autrement dit, tout professionnel (quelle que soit sa forme juridique d’exercice, société, association, etc.) est tenu d’être conforme au RGPD .

  • Conformité RGPD qu’est-ce que ça veut dire ? 

Pouvoir prouver …  que l’on est conforme.

En droit commun, nous sommes tous présumés respecter la loi.

Avec le RGPD c’est différent : il faut réunir aujourd’hui les preuves qui serviront demain (en cas de litige et/ou de contrôle Cnil) à prouver que l’on protège les données à caractère personnel que l’on traite.

  • Qu’est-ce qu’une donnée à caractère personnel ? 

Toute information qui permet directement ou non, d’identifier une personne physique. 

Ainsi, un numéro de membre est une donnée personnelle, comme un numéro de téléphone, ou un numéro de compte bancaire.

  • Que signifie « traiter » une donnée personnelle ? 

En faire un usage quelconque : consulter, transmettre, exploiter, enregistrer etc. 

Ainsi, quand vous louez un espace de coworking, ou domiciliez une société, vous manipulez nécessairement des données à caractère personnel. 

Cette « manipulation » est un traitement et doit faire l’objet de mesures de protection.   

  • Protéger comment ? 

Par des mesures « techniques et organisationnelles ». 

Techniques : c’est « l’emballage » : pare-feu, antivirus, logiciels, matériels etc.

Organisationnelles : c’est « l’usage » : consignes d’utilisation données au personnel pour prévenir la dégradation ou la diffusion involontaire des données.

  •  Comment se mettre en conformité ? 

La CNIL sur son site fournit un mode d’emploi, plutôt bien fait, destiné aux PME.

https://www.cnil.fr/fr/tpe-pme 

Mais la démarche reste abstraite, d’un intérêt intellectuel relatif et globalement très chronophage.

  • Qu’est ce que je risque ?

En théorie les sanctions en cas de non-respect, vont de 20 millions d’euros pour les PME et jusqu’à 4% du chiffre d’affaires global du groupe pour les grandes entreprises..

Dans la pratique, les montants sont plus raisonnables mais les condamnations sont régulières et pas seulement pour les grands groupes :

https://www.cnil.fr/fr/les-sanctions-prononcees-par-la-cnil

  • Se faire aider par qui ? 

La CNIL et son site www.cnil.fr constituent des sources d’information de référence.

Mais c’est un service public, qui ne délivre pas de prestations. 

Il n’existe par conséquent aucun organisme officiel chargé d’accompagner les entreprises dans leur mise en conformité. 

L’alternative est donc la suivante : 

  • Soit vous décidez de conduire cette démarche vous-même. 

En ce cas, il est vivement conseillé de suivre une formation pour acquérir les compétences nécessaires. 

  • Soit vous décidez de vous faire aider. 

Mais pas par n’importe qui, et pas à n’importe quel prix . 

Toutes les offres d’accompagnement et de conseil émanent d’opérateurs privés : avocats, consultants, etc.

La matière requiert une double compétence : informatique et juridique. 

Toute offre sérieuse doit donc inclure a minima des prestataires présentant ces deux compétences, le plus souvent sous forme de binôme

NB : 

Il existe des labels et des certifications diverses, qui ne sont que des indices de compétence et non des critères. 

Il existe surtout des associations regroupant les Data Protection Officer (libéraux et salariés d’entreprises ou d’administration) , telles notamment l’AFCDP https://afcdp.net/ ou l’ADPO https://www.data-protection-officer-association.eu/  

Bien qu’elles ne représentent que leurs membres, elles constituent sans doute une bonne manière d’entrer en contact avec des professionnels locaux.

 

  • A quel prix ? 

C’est la question qui fâche. 

S’agissant d’un marché ouvert, chaque opérateur fixe librement ses tarifs.

Ils le font généralement sur la base d’un prix de journée/homme, dont le taux varie … en fonction du nombre de journées envisagées. 

Le web fournit des prix de journée indicatifs, calqués sur ceux généralement constatés chez les consultants informatiques. 

Le conseil pratique est donc évident : faire une mise en concurrence minimum sur trois offres distinctes. 

Pour une mission auprès d’un espace classique informatisé normalement, il faut compter entre 2 et 5 jours de mission au tarif de 700 à 900€ HT/j  pour le binôme Juriste/Informaticien qui devront intervenir soit entre 1.400 et 4.500 €HT/j

 

  • Qu’est-ce que j’y gagne dans tout ça ? 

Deux choses : 

  • Une garantie : 

Celle d’être conforme à la loi, et par conséquent de pouvoir se défendre contre le risque de sanctions sévères (amendes et dommages et intérêts).

  • Une opportunité 

Celle de mettre mon patrimoine informationnel en cybersécurité 

Car en protégeant les données personnelles, c’est l’ensemble de mes données que je protège. 

 

Philippe Bazin

Avocat – Spécialiste en droit du numérique – 

www.nulmerilex.fr

 

____________________________________________________________________

 

Si vous pensez avoir besoin d’aide pour réaliser cette conformité, prenez contact avec un des différents opérateurs cités dans l’article et/ou contactez Philippe Bazin au 06.13.17.82.47, de la part du Synaphe, pour bénéficier d’un tarif privilégié.

 

Si vous souhaitez vous former sur le RGPD, le Synaphe a négocié avec l’OPCO EP la prise en charge en formation collective de la formation « Maitriser les impacts de la conformité RGPD » 

 

Avantages :

? Bénéficier d’un financement à 100 % des coûts pédagogiques et documenter votre conformité RGPD

? Formation pratico-pratique

? Inscriptions en quelques clics directement en ligne via la plateforme de l’OPCO EP – mots-clés : RGPD

 

La formation est organisée en présentiel en session inter-entreprise avec un minimum de 3 participants, pour une durée de 2 jours consécutifs.

Les sessions sont programmées :

à Paris les 19 et 20 Mai 2022

à Bordeaux les 02 et 03 Juin 2022

à Strasbourg les 30 et 31 Août 2022

à Paris les 15 et 16 Septembre 2022

à Strasbourg les 03 et 04 Octobre 2022

à Paris les 25 et 26 Novembre 2022

Notre Newsletter.

Recevez nos actualités par email.

Rejoignez l’alliance des espaces de coworking de France.