Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Découvrez tout notre contenu d'aide et d’apprentissage destiné aux petites entreprises.
Le Règlement général sur la protection des données (RGPD) est une règlementation de l’Union européenne (UE) qui impose la façon dont une organisation doit traiter des données personnelles. Si votre entreprise vend à, fournit des services ou emploie des citoyens de l’Union européenne, le RGPD vous affecte.
En tant qu’administrateur de petite entreprise, vous vous demandez probablement « comment commencer ? » Cette question peut être particulièrement vraie si votre entreprise ne gère pas les données personnelles en tant qu’activité métier principale, ou si le RGPD est nouveau pour vous.
Pour commencer, consultez cet article. Cet article vise à vous aider à comprendre le RGPD, pourquoi il est né et comment Microsoft 365 pour les entreprises peut aider vos organization à se conformer au RGPD.
Il inclut également des réponses aux questions courantes sur le RGPD que les petites entreprises peuvent avoir, et met en évidence les mesures qu’une petite entreprise peut prendre pour se préparer au RGPD.
Importante
Les solutions et recommandations Microsoft 365 de cet article sont des outils et des ressources qui peuvent vous aider à gérer et à protéger vos données, mais qui ne sont pas une garantie de conformité au RGPD. C’est à vous d’évaluer votre propre status de conformité. Contactez votre conseiller juridique et/ou professionnel, le cas échéant.
Une rapide vue d’ensemble du RGPD
Le RGPD est une règlementation de l’UE qui actualise et étend la Directive sur la protection des données (DPD) adoptée en 1995. Le RGPD concerne la confidentialité des données d’un individu, qu’il s’agisse d’un client, d’un usager, d’un employé ou d’un partenaire professionnel. L’objectif du RGPD est de renforcer la protection des données personnelles des citoyens de l’UE, qu’ils résident dans l’Union européenne ou dans tout autre lieu. La règlementation expose les attentes et donne des conseils sur la manière d’y répondre. Les organisations doivent avoir des mesures en place pour répondre aux exigences du RGPD.
Le RGPD concerne les données et la façon dont les données sont utilisées. Pensez que les données ont un cycle de vie. Le cycle commence lorsque vous collectez des données, continue lorsque vous les stockez et les utilisez (traitement) et se termine lorsque vous les supprimez complètement de vos systèmes.
Le RGPD porte sur les types de données suivants :
Données personnelles : si vous pouvez lier des données à un individu et les identifier, ces données sont considérées comme personnelles au regard du RGPD. Le nom, l’adresse, la date de naissance et l’adresse IP sont des exemples de données personnelles. Le RGPD considère même les informations codées (également appelées informations « pseudonymes ») comme des données personnelles. Si les données encodées peuvent être liées à un individu, les données sont considérées comme personnelles, indépendamment de l’aspect obscur ou technique des données.
Données personnelles sensibles : ces données ajoutent plus de détails aux données personnelles. Des exemples comprennent la religion, l’appartenance à une organisation syndicale, l’origine raciale, etc. Les données biométriques et l’ADN font également partie des données personnelles sensibles. Aux termes du RGPD, les données sensibles ont des règles de protection plus contraignantes que les données personnelles.
Termes du RGPD
Des termes spécifiques sont fréquemment mentionnés dans le RGPD. Il est important de comprendre ces termes.
Consentement :
Le RGPD déclare : « Le traitement des données personnelles doit être conçu pour servir l’humanité . » Le RGPD espère atteindre cet objectif en utilisant le consentement lors du traitement des données personnelles. Ce consentement peut être le fait de demander aux clients s’ils souhaitent recevoir des messages électroniques de votre entreprise. Cela signifie également l’absence de cases à cocher sur votre site web lorsque vous voulez utiliser des données à des fins commerciales. Vous devez obtenir un consentement explicite à l’aide d’un « acte positif clair ». De plus, vous devez conserver des enregistrements lorsque le consentement est obtenu ou révoqué.
Droits des personnes concernées :
Le RGPD établit les droits des personnes concernées. En ce qui concerne leurs données personnelles, les clients, les employés, les partenaires commerciaux, les clients, les sous-traitants, les étudiants, les fournisseurs, etc., ont le droit de :
Être informé de leurs données : vous devez informer les individus de votre utilisation de leurs données.
Avoir accès à leurs données : vous devez accorder aux individus l’accès à l’une de leurs données que vous détenez (par exemple, en utilisant l’accès au compte ou de manière manuelle).
Demander la rectification des données : les individus peuvent vous demander de corriger des données inexactes.
Demander la suppression des données : également appelé droit à l’effacement, ce droit permet à une personne de demander la suppression de toutes les données personnelles collectées par l’entreprise sur tous les systèmes qui les utilisent ou les partagent.
Demander un traitement restreint : une personne peut vous demander de supprimer ou de restreindre ses données. Ceci n’est toutefois applicable que dans certains cas.
Portabilité des données : une personne peut demander que ses données soient transférées à une autre entreprise.
Objet : une personne peut s’opposer à l’utilisation de ses données pour diverses utilisations, y compris le marketing direct.
Demandez à ne pas être soumis à la prise de décision automatisée, y compris au profilage : le RGPD a des règles strictes sur l’utilisation des données pour profiler les personnes et automatiser les décisions basées sur ce profilage.
Étapes de préparation pour le RGPD
Cette section décrit les mesures qu’une petite entreprise peut prendre pour lui permettre d’être prête pour le RGPD. La plupart des informations contenues dans cette procédure sont fournies via Sept étapes pour aider les entreprises à se préparer à l’entrée en vigueur du règlement général sur la protection des données, une publication offerte par l’Office des publications de l’Union européenne.
Un bon moyen pour une petite entreprise de prendre en main le RGPD est de veiller à appliquer les principes clés suivants lors de la collection de données personnelles :
- Collectez des données personnelles à des fins clairement définies pour ce pour quoi vous les utilisez, et ne les utilisez pas pour autre chose. Par exemple, si vous demandez à vos clients de vous fournir leur adresse e-mail pour qu’ils reçoivent de nouvelles offres et promotions, vous pouvez uniquement utiliser leur adresse de courrier à cette seule fin.
- Ne collectez pas plus de données que nécessaire. Par exemple, si votre entreprise a besoin d’une adresse postale pour vous livrer des marchandises, vous avez besoin de l’adresse d’un client et d’un nom, mais vous n’avez pas besoin de connaître les status conjugaux de la personne.
Étape 1 : Connaître les données personnelles que vous collectez et utilisez au sein de votre entreprise, ainsi que les raisons pour lesquelles vous en avez besoin
En tant que petite entreprise, l’une de vos premières étapes doit être l’inventaire des données personnelles que vous collectez et utilisez au sein de votre entreprise. Vous devez également déterminer pourquoi ce personnel est requis. Cette action inclut des données sur les employés et vos clients.
Par exemple, vous pouvez avoir besoin de données personnelles sur les employés en fonction du contrat de travail et pour des raisons juridiques (par exemple, la déclaration d’impôts au service fiscal interne).
Par exemple, vous pouvez gérer des listes de clients individuels pour leur envoyer des avis sur les offres spéciales, s’ils ont accepté de recevoir ces avis.
Fonctionnalités Microsoft 365 qui peuvent vous aider à l’étape 1
La Protection des données Microsoft Purview peut vous aider à découvrir, classer et protéger des informations sensibles dans votre entreprise. Vous pouvez utiliser des classifieurs pouvant être formés pour vous permettre d’identifier et d’étiqueter des types de documents contenant des données personnelles.
Étape 2 : informez vos clients, employés et autres individus que vous devez collecter leurs données personnelles
Les particuliers doivent savoir que vous traitez leurs données personnelles, ainsi que le but. Par exemple, si un client doit créer un profil client pour accéder à au site en ligne de votre entreprise, veillez à déclarer spécifiquement ce que vous avez l’intention de faire avec leurs informations.
Mais il n’est pas nécessaire d’informer les personnes quand elles savent déjà comment vous envisagez d’utiliser les données. Par exemple, quand ils fournissent une adresse de domicile pour une livraison.
Vous devez également pouvoir informer les particuliers, sur demande, à propos des données que vous détenez les concernant et fournir un accès à leurs données. L’organisation de vos données facilite leur fourniture, le cas échéant.
Étape 3 : ne conserver les données personnelles que le temps nécessaire
Pour les données des employés, conservez-les pendant toute la durée de l’emploi et pour les obligations légales associées. Pour les données client, conservez-les pendant toute la durée de la relation commerciale et pour les obligations légales associées (par exemple, à des fins fiscales). Supprimez les données lorsqu’elles ne sont plus nécessaires aux fins pour lesquelles vous les avez collectées.
Fonctionnalités Microsoft 365 qui peuvent vous aider à l’étape 3
Les stratégies et les étiquettes de rétention peuvent être utilisées pour vous aider à conserver les données personnelles pendant un certain temps et à les supprimer lorsqu’elles ne sont plus nécessaires.
Étape 4 : Sécuriser les données personnelles que vous traitez
Si vous stockez des données personnelles sur un système informatique, limitez l’accès aux fichiers contenant les données. Par exemple, en utilisant un mot de passe fort. Mettez régulièrement à jour les paramètres de sécurité de votre système.
Remarque
Le RGPD ne prescrit pas l’utilisation d’un système informatique spécifique, mais fait en sorte que le système dispose du niveau de sécurité approprié. Pour plus d’informations , consultez l’article 32 du RGPD : Sécurité du traitement .
Si vous stockez des documents physiques avec des données personnelles, assurez-vous que les documents ne sont pas accessibles par des personnes non autorisées.
Si vous choisissez de stocker des données personnelles dans Microsoft 365, vous avez accès aux fonctionnalités de sécurité suivantes :
- La possibilité de vous aider à gérer les autorisations d’accès aux fichiers et dossiers.
- Emplacements sécurisés centralisés pour enregistrer vos fichiers (bibliothèques de documents OneDrive ou SharePoint).
- Chiffrement des données lors de l’envoi ou de la récupération de vos fichiers.
Fonctionnalités Microsoft 365 qui peuvent vous aider à l’étape 4
Vous pouvez utiliser configurer les fonctionnalités de conformité pour protéger les informations sensibles de votre entreprise. Le Gestionnaire de conformité peut vous aider à démarrer immédiatement. Par exemple, vous pouvez créer et déployer des stratégies de protection contre la perte de données qui utilisent le modèle RGPD.
Étape 5 : conserver la documentation sur vos activités de traitement des données
Préparez un bref document expliquant les données personnelles que vous conservez et la raison. Il peut vous être demandé de mettre la documentation à la disposition de votre autorité nationale de protection des données, le cas échéant.
Ces documents doivent inclure les informations répertoriées dans le tableau suivant.
| Informations | Exemples |
|---|---|
| Objectif du traitement de données | Informer les clients sur des offres spéciales telles que la fourniture de livraison à domicile, le règlement des fournisseurs, des salaires et de la couverture de sécurité sociale pour les employés. |
| Types de données personnelles | Informations sur le contact client, informations sur le contact fournisseur, données employé |
| Les catégories de personnes concernées | Employés, clients et fournisseurs |
| Catégories de destinataires | Autorités du travail, autorités fiscales |
| Périodes de stockage | Les données personnelles des employés jusqu’à la fin du contrat de travail (et obligations légales associées) ; données personnelles des clients jusqu’à la fin de la relation client/contractuelle |
| Mesures de sécurité techniques et organisationnelles pour protéger les données personnelles | Solutions de système informatique régulièrement mises à jour, emplacement sécurisé, contrôle d’accès, chiffrement de données, sauvegarde de données |
| Si les données personnelles sont transférées vers des destinataires hors de l’Union européenne | Utilisation d’un sous-traitant hors de l’Union européenne (par exemple, stockage dans le cloud), emplacement des données chez le sous-traitant, engagement contractuel |
Vous trouverez les engagements contractuels de Microsoft concernant le RGPD dans l’Addendum sur la protection des données microsoft Online Services. Ce fichier fournit les engagements de Microsoft en matière de confidentialité et de sécurité, les conditions de traitement des données et les conditions du RGPD pour les services hébergés par Microsoft auxquels les clients s’abonnent en vertu d’un contrat de licence en volume.
Étape 6 : vérifier que vos sous-traitants respectent les règles
Si vous sous-traitez le traitement des données personnelles à une autre entreprise, utilisez uniquement un fournisseur de services qui garantit le traitement en conformité avec les exigences du RGPD (par exemple, les mesures de sécurité).
Étape 7 : affecter une personne pour la supervision de la protection des données personnelles
Pour mieux protéger les données personnelles, les organisations devront peut-être nommer un Délégué à la protection des données (DPO). Toutefois, vous n’aurez peut-être pas besoin de désigner un délégué à la protection des données dans l’un des scénarios suivants :
- Si le traitement des données personnelles n’est pas au cœur de votre activité.
- Vous êtes une petite entreprise.
Par exemple, si votre entreprise collecte des données client uniquement pour la livraison à domicile, vous n’avez pas besoin de nommer un DPO.
Même si vous devez utiliser un DPO, vous n’avez peut-être pas besoin d’un DPO dédié. Par exemple, vous pouvez attribuer ce travail à un employé existant. Vous pouvez également décider d’embaucher un consultant extérieur pour cette fonction, le cas échéant.
Normalement, vous n’avez pas besoin d’effectuer une analyse d’impact sur la protection des données. Cette exigence est réservée aux entreprises qui posent plus de risques pour les données personnelles. Par exemple, s’ils effectuent une surveillance à grande échelle d’une zone accessible au public, comme la vidéosurveillance.
Si vous êtes une petite entreprise qui gère les salaires des employés et une liste de clients, vous n’avez généralement pas besoin d’effectuer une évaluation d’impact sur la protection des données.
Questions de PME courantes relatives au RGPD
Je suis le seul propriétaire. Dois-je vraiment me soucier du RGPD ?
Le RGPD a trait aux données que vous traitez, et non au nombre d’employés que vous avez. Il affecte les entreprises de toute taille, y compris les propriétaires uniques. Toutefois, les entreprises de moins de 250 employés disposent de certaines exemptions, telles que la conservation réduite des dossiers, mais uniquement si vous êtes sûr que le traitement des données n’affecte pas les droits de la personne et qu’il s’agit d’un traitement occasionnel.
À titre d’exemple, le traitement de données non personnelles sera exempt ou nécessite des mesures réduites. Toutefois, si vous traitez des données considérées comme des « données sensibles de catégorie spéciale », même si elles ne sont que occasionnelles, vous devez enregistrer ce traitement de données. La définition de « traitement occasionnel » est vague, mais elle signifie s’appliquer aux données qui sont utilisées une fois ou rarement.
Il est également recommandé de vérifier que les données personnelles collectées sont protégées. La protection signifie que vous devez chiffrer les données et vous assurer que l’accès aux données est contrôlé à l’aide d’au moins un mot de passe. La conservation de vos données client sur une feuille de calcul sur votre bureau sans protection ne répond pas aux attentes du RGPD.
Comment puis-je déterminer que le site web de notre entreprise est conforme au RGPD ?
La première question à vous poser est celle-ci : Collectez-vous des données personnelles n'importe où sur votre site ? Par exemple, vous pouvez avoir un formulaire de contact qui demande un nom et une adresse e-mail. Si vous souhaitez envoyer des e-mails marketing, veillez à ajouter une case à cocher « opt-in » qui explique exactement pour quoi vous envisagez d’utiliser les données. Vous ne pouvez utiliser les données personnelles d’un destinataire à des fins commerciales que s’il coche la case.
En outre, case activée que la base de données utilisée pour stocker les données est protégée. Votre société d’hébergement web ou fournisseur de stockage cloud peut répondre à cette question. Si vous utilisez Microsoft 365 pour PME, le stockage des données est conforme au RGPD.
Mon entreprise est située en dehors de l’Europe. Le RGPD nous affecte-t-il réellement ?
Le RGPD est une règlementation qui protège les citoyens de l’UE. Si votre entreprise traite actuellement ou potentiellement avec des citoyens de l’UE, vous êtes concerné. Cette exigence s’applique à la fois aux citoyens résidant dans un État de l’UE ou à l’étranger.
Prenons les exemples suivants :
Une entreprise américaine qui loue des voitures à des citoyens de l’UE doit satisfaire aux exigences du RGPD lorsqu’elle collecte et traite les données du client. L’entreprise est tenue de donner son consentement lorsqu’elle accepte les données du client et de s’assurer que les données sont stockées en toute sécurité. Ils doivent également s’assurer que le client peut appliquer tous ses droits de personne concernée.
Une entreprise australienne vend des produits en ligne et ses utilisateurs configurent des comptes sur Internet. Les droits et le consentement des personnes concernées par le RGPD sont appliqués aux citoyens de l’UE qui ouvrent un compte. L’entreprise doit s’assurer que le client peut appliquer tous ses droits de personne concernée.
Une organisation caritative internationale collecte des données sur ses donateurs et les utilise pour envoyer des mises à jour et des demandes de dons. Le RGPD indique : « ... le traitement des données personnelles à des fins de marketing direct peut être considéré comme effectué dans un intérêt légitime." Toutefois, il incombe aux organization de prouver que leurs intérêts l’emportent sur les intérêts de la personne concernée. L’entreprise (ou, dans le cas présent, l’organisation caritative) doit toujours obtenir un consentement éclair, explicite et préalable.
Le RGPD s’applique également si les données client circulent entre des pays. Si vous utilisez le cloud computing pour le stockage des données, vous devez vous assurer que le service est entièrement conforme au RGPD. Le stockage de données peut devenir compliqué lorsque le stockage de données se situe dans des localisations ayant des performances médiocres en matière de protection des données. Si vous utilisez Microsoft 365 pour les PME, nous avez la documentation légale appropriée en place pour couvrir les besoins du RGPD.
Assurément, je collecte des données, mais d’autres entreprises les stockent. Est-ce que cela me décharge de mes responsabilités ?
En vertu du RGPD, si vous collectez des données, vous êtes affecté dans une certaine mesure. Le RGPD intègre le concept d’un sous-traitant de données et d’un responsable du traitement des données :
Contrôleur de données : individu ou organization (vous pouvez avoir des contrôleurs conjoints) qui décide comment, quoi et pourquoi les données sont collectées. Ils peuvent le stocker à l’aide des serveurs cloud d’une autre entreprise. Par exemple, un site web qui collecte des données client est un responsable du traitement.
Processeur de données : individu ou organization qui stocke des données pour le compte des contrôleurs et traite ces données sur demande. Par exemple, le stockage de données de Microsoft 365 Apps for business agit comme un sous-traitant de données et il est pleinement conforme au RGPD.
Une organisation ou un système peut agir en tant que responsable du traitement et de sous-traitant de données. Microsoft 365 pour les PME peut jouer les deux rôles et se conformer au RGPD.
Puis-je encore envoyer des e-mails commerciaux à mes anciens clients ?
Vous devez vous assurer que vos clients, même les clients de longue date, ont accepté d’utiliser leurs données à des fins de marketing. Vous avez peut-être déjà capturé le consentement avec un enregistrement pour l’afficher. Si tel est le cas, vous êtes fin prêt pour continuer à proposer des services. Dans le cas contraire, vous devez obtenir l’autorisation du client pour poursuivre la commercialisation. Cette autorisation implique généralement l’envoi d’un e-mail demandant aux clients d’accéder à votre site et de sélectionner une option de consentement pour recevoir de futurs e-mails.
Dois-je me soucier du RGPD lorsque j’embauche de nouveaux employés ? Qu’en est-il des employés actuels ?
Le RGPD n’affecte pas seulement les données client, il s’étend également aux données des employés. Les nouveaux employés sont souvent localisés à l’aide des plateformes de réseaux sociaux telles que LinkedIn. Vérifiez que vous ne stockez pas de données relatives à des candidats potentiels sans leur autorisation expresse.
En ce qui concerne les employés existants et les nouveaux contrats d’employés, une signature à la fin d’un contrat ne suppose pas nécessairement le consentement, en particulier lorsqu’une clause non affirmative est utilisée dans un contrat. Dans ce cas, vous devez capturer le consentement d’une façon explicite correspondant à la clause. Ce que cela signifie dépend de votre contrat d’employé. Vous pouvez utiliser l'« intérêt légitime » dans certains cas et ajouter une notification de traitement des données des employés pour vous assurer que les employés sont au courant de ce que vous envisagez de faire avec leurs données.
Satisfaire les préoccupations liées à la protection des données personnelles à l’aide de Microsoft 365 pour les PME
La mise en conformité avec le RGPD consiste à s’assurer que les données personnelles sont protégées. Le RGPD intègre un concept appelé Vie privée dès la conception et Par défaut. Cela signifie que la protection des données personnelles doit être « intégrée » au système et au produit pour que la dissipation des craintes devienne une seconde nature.
Tout comme leurs plus importants homologues, les petites entreprises ont besoin de commodité sans compromettre la sécurité. Microsoft 365 pour les PME est conçu pour les entreprises ayant moins de 300 employés. Les petites entreprises peuvent utiliser les outils Microsoft dans le cloud pour améliorer la productivité. Grâce à Microsoft 365 pour les PME, une petite entreprise peut gérer des e-mails, documentations, ainsi que des réunions et des événements. L’application dispose également d’une gestion des appareils et de mesures de sécurité intégrées qui sont d’une importance vitale pour la conformité au RGPD.
Microsoft 365 pour les PME peut vous aider avec le processus du RGPD de la manière suivante :
Découvrir : Une étape importante de la conformité au RGPD consiste à connaître les données dont vous disposez.
Gérer : le contrôle de l’accès aux données et la gestion de leur utilisation font partie intégrante du RGPD. Microsoft 365 pour les PME protège les données métiers basées sur des stratégies que vous voulez appliquer aux appareils. La gestion des appareils est indispensable à une époque où les employés travaillent à distance. Microsoft 365 pour les PME comprend des fonctionnalités de gestion des appareils qui s’assurent que les données sont protégées sur tous les appareils. Par exemple, vous pouvez indiquer que tous les appareils Windows 10 de votre entreprise sont protégés via Windows Defender.
Protéger : Microsoft 365 pour les entreprises est conçu pour la sécurité. Ses contrôles de gestion des appareils et de protection des données fonctionnent sur votre réseau d’entreprise, notamment sur les appareils distants, pour permettre de garantir la sécurisation des données. Microsoft 365 pour les entreprises offre des contrôles tels que les paramètres de confidentialité dans les applications de productivité Microsoft 365 et le chiffrement des documents. Grâce à Microsoft 365 pour les PME, vous pouvez effectuer une surveillance de la conformité au RGPD pour vérifier que vous disposez du niveau suffisant de protection prévu.
Rapport : Le RGPD met beaucoup l’accent sur la création de rapports. Si une entreprise traite de grandes quantités de données et n’a qu’un seul employé, elle est tout de même tenue de documenter et d’établir des rapports sur ses procédures. Microsoft 365 pour les PME simplifie les obligations en matière de rapports pour les petites organisations.
Des outils tels que les journaux d’audit vous permettent de suivre et d’établir des rapports sur les mouvements de données. Les rapports incluent la classification des données collectées et stockées, ce que vous faites des données et les transferts de données.
Les clients, employés et les usagers deviennent plus sensibles à l’importance de la protection des données personnelles et attendent désormais d’une entreprise ou d’une organisation qu’elle la respecte. Microsoft 365 pour les PME vous fournit les outils pour vous conformer et maintenir votre conformité au RGPD, sans provoquer de grands bouleversements dans votre entreprise.
Étapes suivantes
Pour vous préparer pour le RGPD, voici quelques suggestions relatives aux prochaines démarches à entreprendre :
Évaluez votre programme RGPD avec des Listes de vérification de préparation sur la responsabilité.
Investissez dans Microsoft 365 pour les PME en tant que solution pour vous conformer et maintenir votre conformité au RGPD.
Importante
Recevez des conseils juridiques pertinents pour votre entreprise ou votre organisation.
Plus de ressources
Vue d’ensemble du RGPD du Centre de gestion de la confidentialité Microsoft
Le blog officiel de Microsoft : Engagement de Microsoft en faveur du RGPD
Sites de la Commission européenne :