ALF - African Legal Factory > Articles > Données Personnelles > RGPD – apprenez à vous mettre en conformité

RGPD – apprenez à vous mettre en conformité

Aucun commentaire

STARTUPS, APPRENEZ A VOUS METTRE EN CONFORMITE AU RGPD !

Mauvaise nouvelle : vous devez non seulement respecter la réglementation nationale applicable aux données personnelles, mais également potentiellement la réglementation européenne…

Bonne nouvelle….c’est pas compliqué lorsqu’on s’y intéresse, et nous sommes là pour tout vous expliquer…

Comment savoir si votre startup est soumise au Règlement européen Général sur la Protection des Données à caractère Personnel (« RGPD ») ? Comment distinguer si votre startup agit en qualité de sous-traitant ou de responsable de traitement au regard du RGPD ? Quelles sont vos obligations au titre du RGPD ?

Cet article a pour objectif de vous aider à identifier si le RGPD vous est applicable et quelles sont les obligations que vous devez respecter.

Étape 1 : REALISER UN TRAITEMENT DE DONNEES PERSONNELLES

Le RGPD s’applique « au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier. »

A ce titre, une donnée personnelle désigne : « toute information relative à une personne physique identifiée ou identifiable de manière directe ou indirecte ».

Exemples : nom, prénom, date de naissance, adresse e-mail, numéro compte bancaire, adresse IP.
Une personne physique identifiable est « une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale » (Personne concernée).

Exemples : salarié, client, prospect, prestataire.
Un traitement de données à caractère personnel est « toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction ».

Exemples : gestion du recrutement, gestion des ressources humaines, gestion de la prospection commerciale, gestion des clients.
Ainsi si vous avez à traité certaines de ces données dans le cadre des activités citées, vous réalisez des traitements de données personnelles et vous devez en principe respecter tout d’abord la réglementation nationale qui vous est applicable….
Toutefois, vous devez potentiellement également respecter la réglementation européenne, comment le savoir ?

ETAPE 2 : IDENTIFIER SI VOTRE STARTUP SITUEE EN AFRIQUE EST SOUMISE AU RGPD

Le champ d’application territorial du RGPD n’est pas limité à l’Union européenne (« UE ») puisqu’il fait également peser des obligations aux acteurs non localisés dans l’UE.

Votre startup entre dans le champ du RGPD même lorsqu’elle n’est pas établie dans l’UE, à condition que vos activités soient liées à :

  1. l’offre de biens ou de services destinées à des personnes concernées dans l’UE, que les biens ou services soient payants ou non (ex : site e-commerce accessibles par des personnes physiques dans l’UE) ; ou
  2. au suivi du comportement de ces personnes, dans la mesure où il s’agit d’un comportement qui a lieu au sein de l’UE (ex : traçage de comportement via des cookies ou profilage via un site Internet).

Des startups situées en Afrique proposant des biens ou des services directement à des personnes physiques dans l’UE (ex : site de vente en ligne), même gratuitement, sont donc soumises au RGPD.

Warning : compte tenu du caractère extraterritorial du RGPD, les autorités de contrôle européennes peuvent ainsi sanctionner les entreprises situées en dehors de l’UE, tout particulièrement lors de contrôles en ligne des sites internet ou bien lors de contrôles sur pièces, mais également lors de contrôles sur place ou sur audition.

Priorité : Mise en conformité du site Internet aux exigences du RGPD.
Maintenant que vous savez si vous devez respecter la réglementation RGPD, l’étape 2 consiste à déterminer quelle est votre qualification au regard de cette réglementation : êtes-vous un responsable du traitement ou un sous-traitant du responsable de traitement ?

ETAPE 3 : IDENTIFIER LA QUALIFICATION DE VOTRE STARTUP AU SENS DU RGPD

En application de l’article 4 du RGPD :

  • Le responsable de traitement est « celui qui détermine les finalités et les moyens d’un traitement » ;
  • Le sous-traitant est « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement. »

Le sous-traitant est donc celui qui traite les données personnelles pour le compte, sur instruction et sous l’autorité d’un responsable de traitement.

Warning : Le RGPD impose de nouvelles obligations aux sous-traitants qui doivent assister les responsables de traitement dans leurs obligations.

Exemple : Les entreprises qui traitent les données personnelles de personnes situées dans l’UE, pour le compte de leurs clients, sont également soumises au RGPD (ex : services d’e-mailing, call centers, gestion de la paie, etc.).

ETAPE 4 : RESPECTER VOS OBLIGATIONS AU TITRE DU RGPD

Lorsque votre startup est située en dehors de l’UE et qu’elle est soumise au RGPD, elle doit respecter notamment les obligations du RGPD suivantes :

  1. Désigner un représentant dans l’UE : votre startup doit désigner par écrit un représentant dans l’UE (article 27 du RGPD). Il doit être situé de préférence dans un des pays de l’UE dans lequel se trouvent les personnes physiques dont vous traitez les données personnelles. Le représentant a pour mission principale d’être le point de contact pour les autorités de protection des données personnelles européennes ainsi que pour les personnes concernées.
  2. Prendre en compte les principes de protection des données personnelles en mettant en place notamment des registres de traitement, une politique de protection des données personnelles ;
  3. Contractualiser les relations entre responsable de traitement et sous-traitant ainsi qu’avec les différents prestataires et partenaires de votre startup ;
  4. Assurer la sécurité des données traitées, en mettant en place des procédures pour garantir un niveau de sécurité élevé et être en mesure de réagir en cas de violation de données personnelles ;
  5. Encadrer les transferts de données personnelles en dehors de l’UE.

Warning : Afin de mettre en place ces éléments de conformité, il convient préalablement de désigner au sein de votre startup un pilote de la conformité (ainsi qu’un délégué à la protection des données personnelles, Data Protection Officer, le cas échéant) en charge de réaliser des procédures et de mettre en œuvre ces obligations.

POURQUOI DEVEZ-VOUS ABSOLUMENT RESPECTER LE RGPD ?

Afin d’éviter des sanctions financières prévues par le RGPD ainsi que des condamnations pénales !

La conformité au Règlement RGPD répond à un double enjeu :

  • financier et réputationnel puisque les sanctions peuvent atteindre un montant de 20 millions d’euros ou représenter 4% du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu, et être rendues publiques.
  • commercial car il s’agit d’un atout business et un moyen de se différencier de la concurrence.

Exemple : en France, le Code pénal prévoit des sanctions pénales allant jusqu’à 5 ans d’emprisonnement et 1,5 million € d’amende pour les personnes morales.

N’hésitez pas à nous contacter pour tout renseignement.

Références :

Laisser un commentaire