RGPD, vous êtes aussi concerné !

RGPD Reglement General Protection Donnees

Avez-vous déjà entendu l’acronyme RGPD ?
Peut-être est-il déjà votre pire cauchemar ?

La date critique de son application approchant à grands pas, après quatre ans de débat, l‘équipe de Capture a voulu tenter de vous résumer cette nouvelle réglementation européenne afin que chacun puisse être en conformité à temps. Beaucoup d’entrepreneurs, TPE ou PME ne savent pas exactement ce qu’est le RGPD ni même qu’ils doivent absolument s’y conformer sous peine de grosses sanctions. Le RGPD est un vaste sujet, donc préparez-vous un bon café !
Alors, êtes-vous prêt ? Passons à l’action !

Pour commencer, qu’est-ce que le RGPD ?

Le RGPD (Règlement Général sur la Protection des Données ou GDPR en anglais) est là pour renforcer les actions mises en place depuis la loi Informatique & Liberté de 1978. Le but est d’augmenter la protection, la traçabilité et le respect des données des utilisateurs d’internet, donc les vôtres 😉
Avec le RGPD, de nombreuses formalités issues de la loi de 1978 et de 28 législations vont disparaître pour laisser la place à une nouvelle manière de collecter, stocker, utiliser et sécuriser les données personnelles, plus maîtrisée, plus pérenne & plus logique. Il est important de savoir que le RGPD s’applique au traitement de données qu’il soit informatisé ou en version papier. Cette réglementation a été votée au Parlement Européen en 2016 et entrera en vigueur le 25 mai 2018 au niveau mondial après quatre ans de négociations.
À l’heure actuelle, nos données sont partout et, bien utilisées, elles nous permettent de recevoir les informations qui nous intéresses, d’améliorer nos produits et services, de connaître et comprendre notre cible…Malheureusement, il arrive que celles-ci soient mal utilisées, revendues, prises à notre insu pour nous proposer des contenus abusifs. C’est là que le RGPD entre en jeu afin de protéger les utilisateurs & leur rendre les droits, obligeant à plus de transparence & de respect entre les entreprises & les utilisateurs. Le but du RGPD est également d’unifier la réglementation au niveau européen avec un cadre juridique unique.

Les points fondamentaux à comprendre pour respecter cette nouvelle réglementation sont :


 

Les données ? Kézako ?

 Les données personnelles sont les informations qui permettent d’identifier, directement ou indirectement, une personne, telles que ses nom, prénom, photo, date de naissance, statut matrimonial, adresse postale, e-mail, adresse IP d’ordinateur, n° de téléphone et bien d’autres. Avec l’utilisation actuelle d’internet, ce genre d’information sur nous circule partout. Très souvent, ces données sont collectées, puis exploitées commercialement notamment dans le cadre de campagnes publicitaires.
Il est important de distinguer le type de données personnelles. Il existe aussi les données dites « sensibles » qui doivent être traitées différemment (informations concernant la santé, l’origine raciale ou ethnique, les opinions politiques, religieuses, l’appartenance syndicale, etc…).

Qui est concerné ?

C’est là qu’il est important de se pencher sur la question, car pratiquement tout le monde est concerné. La réglementation s’applique à tout organisme public ou privé qui traite des données de personnes sur informatique (client, prospects, utilisateurs, fournisseurs…) installé dans l’UE et aux organismes internationaux amenés à traiter les données personnelles de personnes de l’UE. Le principe d’engagement responsable des acteurs (accountability) signifie que chaque acteur doit connaître et appliquer la réglementation. Le responsable du traitement doit pouvoir démontrer sa conformité.

Attention, les sanctions prévues si vous n’êtes pas en règle sont très élevées pouvant atteindre 10 à 20 millions d’euros ou 2 à 4% du chiffre d’affaires annuel de l’entreprise.

Concrètement, comment être en règle face au RGPD ?

1- Créer & tenir votre registre interne de protection des données

 Un autre aspect du RGPD, l’obligation de tenir un registre interne de protection des données.
Pour vous faciliter la tâche, téléchargez le registre officiel de la CNIL au format Excel.

Que doit contenir ce registre ?

Avant de créer votre registre, identifiez les besoins de votre entreprise et les activités qui nécessitent de récolter des données personnelles. Une fois identifiées, créez une fiche par activité dans votre registre. Pour chacune d’entre elle, il faudra répondre aux questions suivantes :
[vc_row][vc_column][vc_tta_accordion][vc_tta_section title= »Qui ? » tab_id= »1526460261504-b29a745a-a853″][vc_column_text]

  • Inscrivez dans le registre le nom et les coordonnées du responsable du traitement (et de son représentant légal) et, le cas échéant, du délégué à la protection des données ;
  • Identifiez les responsables des services opérationnels traitant les données au sein de votre organisme ;
  • Établissez la liste des sous-traitants.

[/vc_column_text][/vc_tta_section][vc_tta_section title= »Quoi ? » tab_id= »1526460261558-389b6729-1979″][vc_column_text]

  • Identifiez les catégories de données traitées (pas besoins d’entrer les données en elles-mêmes)
  • Identifiez les données susceptibles de soulever des risques en raison de leur sensibilité particulière (par exemple, les données relatives à la santé ou les infractions)

[/vc_column_text][/vc_tta_section][vc_tta_section title= »Pourquoi ? » tab_id= »1526460339290-bb287a4a-f7a1″][vc_column_text]

  • Indiquez la ou les finalités pour lesquelles vous collectez ou traitez ces données (exemple : gestion de la relation commerciale, gestion RH, newsletter…).

[/vc_column_text][/vc_tta_section][vc_tta_section title= »Où ? » tab_id= »1526460378606-dcb646e2-4ba3″][vc_column_text]

  • Déterminez le lieu où les données sont hébergées.
  • Indiquez quels pays les données sont éventuellement transférées.

[/vc_column_text][/vc_tta_section][vc_tta_section title= »Jusqu’à quand ? » tab_id= »1526460401102-279c8758-4eb5″][vc_column_text]

  • Indiquez, pour chaque catégorie de données, combien de temps vous les conservez.

[/vc_column_text][/vc_tta_section][vc_tta_section title= »Comment ? » tab_id= »1526460424106-83af0022-60ea »][vc_column_text]

  • Quelles mesures de sécurité sont mises en œuvre pour minimiser les risques d’accès non autorisés aux données et donc d’impact sur la vie privée des personnes concernées ?

[/vc_column_text][/vc_tta_section][/vc_tta_accordion][/vc_column][/vc_row]
Plus clairement, celui-ci doit contenir les informations essentielles liées au traitement des données que votre organisme recueille comme le nom et coordonnées de chaque responsable de traitement, sous-traitant et destinataire, les objectifs de ces traitements de données, les catégories de traitements pour chacun de vos clients, prospects, fournisseurs ou partenaires, les mesures mises en place pour sécuriser les données de vos utilisateurs.

Attention, si vous collectez des données sensibles (informations concernant la santé, l’origine raciale ou ethnique, les opinions politiques, religieuses, l’appartenance syndicale, etc...) vous avez besoin d’une autorisation spécifique.

Vous êtes micro-entrepreneur ou avez une petite structure ?
La CNIL vous propose un modèle de registre de base bien plus simple qui répondra surement à vos besoins :
[vc_row][vc_column][button button_link= »url:%20https%3A%2F%2Fwww.cnil.fr%2Fsites%2Fdefault%2Ffiles%2Fatoms%2Ffiles%2Fregistre_rgpd_basique.pdf|title:T%C3%A9l%C3%A9charger%20le%20registre%20basique|| » button_style= »solid » button_type= »rectangle » button_size= »lg » button_align= »button-center »][/vc_column][/vc_row]

2- Désigner votre DPO

Qu’est-ce qu’un DPO ?

Le DPO (Délégué à la Protection des Données) est la personne désignée pour assurer la conformité de votre entreprise au RGPD. La désignation du DPO n’est une obligation que pour les structures publiques (hôpitaux, collectivités…) et pour les entreprises qui traitent des données à grande échelle ou dites « sensibles ». Il est simplement le successeur du correspondant informatique et libertés (CIL) mais avec beaucoup plus de missions. Même si sa désignation n’est pas une obligation pour votre entreprise, il est plus simple de nommer une personne en charge du respect du RGPD.

Ces missions principales ? Les voici :


 

3- Assurez-vous que votre site internet soit en conformité

a. Établissez vos conditions d’utilisation et politique de confidentialité

Tout d’abord, assurez-vous de mettre sur votre site vos conditions d’utilisation et politique de confidentialité, accessibles sur chaque page et chaque formulaire, en expliquant clairement quelles données vous récoltez, pourquoi, comment, dans quel but et pour combien de temps (et oui, nous n‘avons plus le droit de garder des informations personnelles indéfiniment). Il est également important d’expliquer comment vous protégez leurs données et comment l’utilisateur peut y accéder, les modifier voir les supprimer. L’utilisateur a désormais le droit à l’effacement, à la limitation du traitement et à la portabilité des données. Pour rédiger votre politique de confidentialité, utilisez votre registre des traitements en exposant les différentes données collectées et la finalité de cette collecte, sans oublier la durée de leur conservation 😉
Avec le RGPD, l’une des règles est de minimiser les données récoltées. Vous ne pouvez demander que les données qui correspondent à vos besoins. Par exemple, si vous avez un formulaire pour votre newsletter, vous ne pouvez pas demander le numéro de téléphone de la personne, son âge ou toute autre donnée qui ne vous ait pas en réalité indispensable pour envoyer une newsletter.
Si vous utilisez un formulaire de contact, d’abonnement à une newsletter, de téléchargement de document, etc…
Ajoutez une case à cocher avec un lien vers cette page afin de vous assurer que l’utilisateur est véritablement en accord avec le fait de partager ses données avec vous. N’oubliez pas d’inscrire sur chaque formulaire le but de cette récolte d’information (envoie d’un document, d’une newsletter ou autre.) tout en leur permettant d’accéder à ces données afin de les modifier ou supprimer.

b. Vous avez un blog ? Attention, les commentaires sont aussi soumis au RGPD !

Et oui, car lorsque l’utilisateur laisse un commentaire sur l’un de vos articles, il vous laisse aussi ses données personnelles. Il est donc désormais nécessaire de demander à l’utilisateur d’accepter votre politique avant de le laisser publier un commentaire.

c. Les cookies ? On n’oublie pas d’en informer l’utilisateur !

Un cookie est une information conservée sur votre ordinateur par un site web que vous visitez.
Si lorsqu’un utilisateur consulte votre site internet vous déposez des cookies ou autres traceurs, vous allez pouvoir analyser leur navigation et leurs habitudes de consultation ou de consommation. Par exemple, le simple fait d’utiliser Google Analytics fait que vous déposez des cookies chez vos utilisateurs. Pour cela, il est nécessaire, soit d’informer l’internaute de son existence, soit d’obtenir son consentement.

d. Vous envoyez une newsletter ? Attention à votre liste d’abonnés !

En plus de bien expliquer lors de l’abonnement les options qui s’offrent à eux, vos abonnés doivent confirmer leur inscription par un clic sur votre mail de validation.
Concernant votre liste constituée avant le 25 Mai 2018, vous devez absolument renvoyer un mail demandant une nouvelle confirmation d’abonnement à l’intégralité de votre liste d’abonnés. Cette opération doit être faite avant le 25 Mai (et oui après cette date, vous n’aurez plus le droit de les contacter). Si vous ne recevez pas leur consentement, vous serez contraint de les effacer de votre liste de diffusion et de supprimer leurs données.
Alors, oui, vous allez perdre des abonnés, mais vous garderez vos abonnés actifs qui sont les plus importants !

En cas de faille de sécurité, vous êtes dans l’obligation d’avertir la CNIL dans les 72H si cette violation est susceptible de représenter un risque pour les droits et libertés des personnes concernées. Cette notification s’effectue en ligne sur le site internet de la CNIL.

[vc_row][vc_column][vc_tta_accordion][vc_tta_section title= »1. Le consentement » tab_id= »1526461754986-d8cf539b-529e »][vc_column_text]

  1. L’article 7 stipule que « le consentement devrait être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant, par exemple au moyen d’une déclaration écrite, y compris par voie électronique, ou d’une déclaration orale. » Le consentement peut être retiré à tout moment par les personnes le demandant. Pour les entreprises à caractère BtoB, la collecte du consentement n’est pas obligatoire si la finalité de la collecte est bien respectée (les cases pré-cochées sont autorisées).

[/vc_column_text][/vc_tta_section][vc_tta_section title= »2. La transparence » tab_id= »1526461755066-7f6b7e18-460f »][vc_column_text]Comme il est précisé dans l’article 12 du RGPD, les organisations doivent fournir aux individus des informations claires et sans ambiguïté sur la façon dont sont traitées leurs données. Celles-ci doivent être accessibles par tous, via des documents contractuels, des formulaires de collecte ou les pages « privacy » des sites web.[/vc_column_text][/vc_tta_section][vc_tta_section title= »3. Le droit des personnes » tab_id= »1526461830136-a35b86ca-1179″][vc_column_text]De nouveaux droits sont apparus dans le règlement comme le droit à l’oubli pour tous les utilisateurs. Les organisations n’auront plus qu’un mois (au lieu de deux) pour supprimer les données suite à une demande. Le droit à la portabilité des données est aussi une nouveauté. Il permet à un individu de récupérer les informations qu’il a fournies sous une forme réutilisable pour, le cas échéant, les transférer à un tiers.[/vc_column_text][/vc_tta_section][vc_tta_section title= »4. Le principe de responsabilité (accountability) » tab_id= »1526461853534-d2b8806c-eb0a »][vc_column_text]Il regroupe toutes les mesures qui visent à responsabiliser davantage les entreprises dans le traitement des données à caractère personnel. Les organismes doivent par exemple mettre en place des mesures adéquates pour garantir la sécurité des données. Elles doivent également appliquer le « privacy by design », un concept qui impose de réfléchir à la protection des données personnelles en amont de la conception d’un produit ou d’un service. Elles doivent aussi choisir des sous-traitants qui soient conformes au RGPD ou encore désigner un data protection officer (DPO), chargé de contrôler la conformité de l’organisme avec le RGPD.[/vc_column_text][/vc_tta_section][/vc_tta_accordion][/vc_column][/vc_row]

Nous ne sommes ni avocates, ni spécialiste de la protéction des données. Cet article vise principalement à vous permettre d’y voir plus clair et de comprendre l’importance de respecter cette nouvelle réglementation.
Si nous pouvons vous aider & vous conseiller, n’hésitez pas à nous contacter 😉

[vc_row][vc_column][button button_link= »url:https%3A%2F%2Fcapture-communication.fr%2Fcontact%2F|title:On%20en%20discute%20ensemble%20%3F|| » button_style= »solid » button_type= »rectangle » button_size= »lg » button_align= »button-center »][/vc_column][/vc_row]

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Retour en haut