Le RGPD s'applique à toute structure qui collecte des données personnelles, sans seuil de taille. SYAGA CONSULTING vous aide à formaliser un registre des traitements, encadrer vos sous-traitants, répondre aux questionnaires RGPD de vos clients et assureurs, et réaliser une analyse d'impact quand elle est nécessaire.
Le RGPD est en vigueur depuis 2018, mais reste largement non formalisé dans les PME
Dès qu'une structure collecte des données personnelles (clients, salariés, prospects), elle est concernée. Une exception limitée existe pour les structures de moins de 250 salariés dont le traitement est occasionnel, mais elle ne couvre pas une activité commerciale régulière.
Beaucoup de PME n'ont jamais formalisé leur registre, ou l'ont rédigé une fois puis jamais mis à jour alors que leurs traitements, sous-traitants et outils ont changé.
Un client, une banque ou un assureur cyber demande de plus en plus souvent à ses fournisseurs de répondre à un questionnaire sur la protection des données (art. 28) : sous-traitance, chiffrement, MFA, sauvegardes, journalisation, plan d'incident.
Rédiger un registre, encadrer des sous-traitants ou monter une analyse d'impact demande une expertise juridique et technique croisée que peu de PME ont en interne.
Une méthode structurée, adaptée à la taille et au contexte réel de votre structure
Entretien avec le dirigeant ou le référent RGPD. Identification des traitements de données personnelles (clients, salariés, prospects, fournisseurs), des outils utilisés et des sous-traitants déjà en place.
Rédaction du registre des activités de traitement : finalités, bases légales, catégories de données et de personnes concernées, destinataires, durées de conservation, mesures de sécurité.
Revue ou rédaction des clauses de sous-traitance (art. 28) avec vos prestataires, et préparation des réponses aux questionnaires RGPD que vous adressent vos clients ou assureurs (mesures techniques et organisationnelles).
Remise des documents et présentation à la direction. Si votre traitement entre dans un des cas prévus par l'art. 35(3) du RGPD (profilage à effet juridique, données sensibles à grande échelle, surveillance systématique d'une zone publique), une analyse d'impact (AIPD) est réalisée ou cadrée avec vous.
Des documents adaptés à votre structure réelle, pas des templates génériques
Registre complet conforme à l'article 30 du RGPD.
Encadrement contractuel de vos prestataires au sens de l'article 28.
Réalisée uniquement lorsque l'article 35(3) du RGPD l'impose, ou à titre de précaution sur demande.
Préparation des réponses aux questionnaires envoyés par vos clients, banques ou assureurs cyber.
État des lieux des mesures exigées par l'article 32 du RGPD.
Les livrables vous sont remis dans des formats directement exploitables.
Le RGPD (Règlement (UE) 2016/679) structure la démarche RGPD-Express
Obligation de tenir un registre, côté responsable de traitement et côté sous-traitant. L'exemption prévue au 30.5 pour les structures de moins de 250 salariés ne s'applique qu'aux traitements occasionnels.
Encadrement contractuel de tout sous-traitant traitant des données pour votre compte : garanties suffisantes, clauses obligatoires, sous-traitance ultérieure autorisée par écrit préalable.
Mesures techniques et organisationnelles appropriées au risque : pseudonymisation, chiffrement, moyens garantissant la confidentialité et la disponibilité, procédure de test et d'évaluation régulière.
Obligatoire uniquement lorsque le traitement est susceptible d'engendrer un risque élevé : évaluation systématique à effet juridique, données sensibles à grande échelle, ou surveillance systématique d'une zone accessible au public.
Chaque structure a un périmètre de traitements différent : le tarif est établi après le cadrage
TPE / PME, périmètre de traitements simple
PME avec plusieurs sous-traitants et questionnaires récurrents
Structure avec traitements sensibles ou réglementation sectorielle
Écrivez-nous pour un cadrage initial et un devis personnalisé, sans engagement.
Ce que dit vraiment le texte, traduit en langage simple. Chaque point renvoie au texte officiel.
C'est le texte européen qui encadre la collecte et l'utilisation des données personnelles (clients, salariés, prospects...). Il a été adopté le 27 avril 2016 et publié au Journal officiel de l'Union européenne le 4 mai 2016.
Le règlement est entré en vigueur vingt jours après sa publication, mais il n'est réellement applicable que depuis le 25 mai 2018. C'est cette date qui compte pour vos obligations concrètes.
Vous devez tenir la liste de ce que vous faites avec les données personnelles : pour quoi, avec qui, combien de temps vous les gardez, comment vous les protégez. Une exception existe pour les structures de moins de 250 salariés, mais seulement si le traitement est occasionnel, une activité commerciale régulière n'en bénéficie pas.
Ce n'est obligatoire que dans trois situations précises : vous êtes un organisme public, ou votre activité principale consiste à surveiller des personnes de façon régulière et à grande échelle, ou à traiter à grande échelle des données sensibles. En dehors de ces cas, nommer un DPO reste facultatif.
Si des données personnelles sont perdues, volées ou exposées, vous devez en informer la CNIL (ou l'autorité compétente) au plus tard 72 heures après en avoir eu connaissance, sauf si le risque pour les personnes est négligeable. Vous devez aussi garder une trace écrite de chaque incident.
Quand une fuite de données fait courir un risque élevé aux personnes concernées, vous devez les informer directement, en langage clair et simple. Vous pouvez être dispensé de cette communication si les données étaient chiffrées ou si vous avez déjà neutralisé le risque.
En cas de manquement, l'amende peut aller jusqu'à 10 millions d'euros (ou 2% du chiffre d'affaires mondial de l'entreprise) pour les manquements les plus courants, et jusqu'à 20 millions d'euros (ou 4% du chiffre d'affaires mondial) pour les atteintes les plus graves aux droits des personnes, c'est toujours le montant le plus élevé qui est retenu. Le montant réel dépend de la gravité, de la bonne foi et de la coopération avec l'autorité.