Quelle mise en conformité doivent effectuer les entreprises en 2025 ?

Suite à une création d’entreprise, le chef d’entreprise est soumis à de nombreuses obligations. Parmi elles, la mise en conformité est l’une des plus importantes, et pourtant, bien souvent négligée.

L’obligation de mise en conformité est récente, et découle du Règlement Général sur la Protection des Données, dit RGPD, dont les dispositions sont applicables en France depuis 2018. Legalstart fait le point avec vous. 

Mise en conformité : définition 

Qu’est-ce qu’une mise en conformité au RGPD ?

Une mise en conformité au RGPD est une obligation incombant à toutes les entreprises de l’Union européenne. Ces entreprises doivent s’assurer que leur politique respecte bien les dispositions prévues par le RGPD. 

Le RGPD, ou Règlement Général sur la Protection des Données, encadre le traitement des données personnelles au sein de l’Union européenne, et a été adopté en 2016. Les dispositions de ce règlement européen ont été transposées en droit français par la loi informatique et libertés, entrée en vigueur le 25 mai 2018. 

Une donnée personnelle est définie par la CNIL comme étant « toute information se rapportant à une personne physique identifiée ou identifiable ». Cette identification peut être faite directement (avec l’utilisation du nom de la personne par exemple), ou indirectement (avec l’utilisation de son numéro de téléphone par exemple). 

Dès lors qu’une donnée personnelle est utilisée, il s’agit d’un traitement de donnée. 

Le règlement général sur la protection des données s’applique à tous les organismes établis sur le territoire de l’Union européenne ou dont l’activité cible directement des ressortissants des pays de l’Union européenne. 

Quels sont les grands principes du RPGD à respecter ? 

Le RGPD prévoit 6 grands principes devant être respectés pour qu’une entreprise se mette en conformité : 

1. la donnée collectée doit être traitée de manière loyale par l’entreprise ;
2. le traitement de la donnée doit avoir un but défini ;
3. le traitement des données doit être minimal ;
4. les données utilisées doivent être mises à jour ;
5. les données doivent être supprimées une fois que leur conservation n’est plus nécessaire ;
6. et le traitement des données doit être effectué de façon à garantir la sécurité des données à caractère personnel. 

1. La donnée collectée doit être traitée de manière loyale par l’entreprise  

L’entreprise doit informer la personne concernée de manière transparente et ne pas utiliser ses données à son insu ou à des fins trompeuses.

2. Le traitement de la donnée doit avoir un but défini 

Les données personnelles ne peuvent être utilisées que dans un but précis, explicite et légitime, annoncé dès leur collecte.

3. Le traitement des données doit être minimal 

Seules les données strictement nécessaires au regard de la finalité poursuivie doivent être collectées et traitées.

4. Les données utilisées doivent être mises à jour 

L’entreprise doit veiller à ce que les données soient exactes et, si nécessaire, mises à jour régulièrement.

5. Les données doivent être supprimées une fois que leur conservation n’est plus nécessaire au regard de l’objectif établi 

Les données doivent être supprimées ou anonymisées une fois leur objectif atteint ou dès qu’elles ne sont plus utiles.

6. Le traitement des données doit être effectué de façon à garantir la sécurité des données à caractère personnel

L’entreprise est tenue de protéger les données personnelles contre tout accès non autorisé, perte, ou divulgation, en mettant en place des mesures de sécurité adaptées.

Quelles sont les obligations générales d’une mise en conformité ? 

La mise en conformité d’une entreprise au RGPD passe par le respect de certaines obligations générales. L’une des obligations les plus importantes dans le traitement des données personnelles est la transparence. L’organisme qui collecte des données personnelles doit être le plus transparent possible avec les utilisateurs.

Pour ce faire, l’entreprise doit pouvoir donner des informations sur le traitement des données effectué. Ces informations doivent être claires, précises et accessibles pour permettre à tous les utilisateurs de donner sciemment leur consentement. 

De plus, l’organisme doit préciser dans les conditions générales d’utilisation un certain nombre d’informations, notamment : 

• l’identité et les coordonnées du responsable et destinataire du traitement des données ;
• le but du traitement des données ; 
• le caractère non obligatoire de la collecte ;
• la durée de conservation des données ;
• et les droits de l’utilisateur (demande de suppression, de rectification, d’accès ou d’opposition au traitement de ses données personnelles). 

Quelle est la démarche de mise en conformité au RGPD ? 

2 étapes sont nécessaires pour la mise en conformité au RGPD d'une entreprise :

1. l’analyse du traitement des données de l’entreprise et des dispositions du RGPD ;
2. et la mise en conformité effective.

Étape 1 : l’analyse du traitement des données de l’entreprise et des dispositions du RGPD

Pour pouvoir se mettre en conformité, il faut tout d’abord analyser de quelle manière l’entreprise recense les données personnelles des utilisateurs.

Cette analyse peut prendre la forme d’une “cartographie”. Il s’agit d’une représentation visuelle permettant de faciliter la compréhension de l’analyse faite.

Étape 2 : la mise en conformité effective

Une fois la cartographie des traitements des données réalisée, il faut établir un plan de mise en conformité au RGPD. Ce plan doit déterminer les actions à mener pour pouvoir se conformer aux dispositions prévues par le RGPD.

Lorsqu’une mise en conformité a été faite, il faut maintenir cette conformité au RGPD en organisant un processus interne permettant la vérification de la conformité au RGPD et l’appréhension les évènements futurs pouvant porter atteinte à la protection des données personnelles. 

Quels sont les sanctions lorsque aucune mise en conformité n’a été effectué par l’entreprise ? 

Une entreprise qui ne se met pas en conformité s'expose à :

• des sanctions administratives ;
• ou des sanctions pénales. 

Sanctions administratives 

Le règlement général sur la protection des données (RGPD) prévoit que des sanctions peuvent être prononcées par une autorité de contrôle à l’encontre d’une entreprise en cas de non-conformité. 

En France, l’autorité de contrôle de la conformité au RGPD est la CNIL (Commission Nationale de l'Informatique et des Libertés). La CNIL est compétente pour prononcer des sanctions administratives à l’encontre des organismes soumis au respect du RGPD.

Ces sanctions peuvent aller :

• jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires lorsqu’il s’agit de manquements relatifs à la mise en conformité  ;
• et jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires lorsqu’il s’agit de manquements relatifs aux droits des personnes.

Sanctions pénales 

Il existe également des sanctions pénales pouvant être prononcées par le Tribunal judiciaire, découlant d’une absence de mise en conformité par un organisme : 

• En cas de collecte de données personnelles sans avoir informé la personne concernée au préalable, l’auteur de cette collecte s’expose à une amende de 1.500 €.
• Lorsqu’un organisme refuse la rectification ou la suppression d’une donnée personnelle, une peine de 1.500 € d’amende peut être prononcée par le Tribunal judiciaire.
• Et le fait de détourner une donnée personnelle de sa finalité est passible de 5 ans d’emprisonnement et 300.000 € d’amende.   

FAQ

Est-ce que le RGPD s’applique aux associations ? 

La mise en conformité au RGPD est obligatoire pour tout organisme se trouvant dans l’Union européenne ou s’adressant à un marché d’un pays membre de l’Union européenne. Les associations sont donc également soumises au respect des dispositions prévues par le RGPD. 

Comment est contrôlé le respect de la conformité d’un organisme au RGPD ? 

Le contrôle de la mise en conformité d’un organisme au RGPD est effectué par une autorité de contrôle désignée. En France, cette autorité de contrôle est la CNIL. Cette dernière est compétente pour sanctionner les manquements aux obligations prévues par le RGPD. 

Est-il possible pour un utilisateur de demander à un organisme la suppression des données personnelles collectées ? 

Oui, le but du RGPD est la protection des intérêts des utilisateurs. Ce règlement octroie donc le droit aux utilisateurs de demander à un organisme la suppression de ses données personnelles collectées. L’utilisateur a également le droit de demander l’accès à ses données, de s’opposer au traitement de ses données ou encore, exiger une rectification de ses données. 

Quelle est la procédure de mise en conformité au RGPD ?

La mise en conformité au RGPD se fait en deux grandes étapes. D’abord, l’entreprise doit analyser tous les traitements de données personnelles qu’elle effectue : quelles données sont collectées, comment, par qui et dans quel but. Cette étape passe souvent par une cartographie des traitements, qui permet d’y voir plus clair.

Ensuite, il faut établir un plan d’action pour corriger ce qui n’est pas conforme : revoir les mentions légales, sécuriser les données, limiter les durées de conservation… Une fois conforme, l’entreprise doit rester vigilante en instaurant un suivi régulier pour garantir la protection des données dans le temps.

Principales sources législatives et réglementaires :

• article 5 - RGPD ;
• article 83 - RGPD ;
• article 226-21 - Code pénal ;
• article R625-12 - Code pénal ;
• article R625-10 - Code pénal ;
• la loi Informatique et Libertés.