fbpx
Le RGPD, ce qu’il faut absolument savoir

Le RGPD, ce qu’il faut absolument savoir

Partager sur facebook
Partager sur linkedin
Partager sur twitter
Partager sur email

RGPD, définition

Le Règlement Général sur la Protection des Données (RGPD) s’inscrit dans la continuité de la Loi française « Informatique et Libertés » de 1978.

Les motivations qui ont mené à la mise en place d’un tel cadre légal étaient multiples :

S’adapter aux évolutions technologiques et sociétales impliquant toujours plus d’échange de données personnelles.

Assurer la sécurité et la traçabilité des données personnelles collectées ainsi que le respect de la vie privée de chacun.

Établir une relation consentie, responsable, transparente et de confiance entre chaque organisme et sa communauté/clientèle (fini la vente de vos données à votre insu).

Permettre aux internautes d’être gestionnaires de leurs propres données.

Mettre sur le même pied d’égalité l’ensemble des organismes établis sur le territoire européen ou ciblant des résidents européens. Ainsi, une société française qui exporte des produits à Bali doit respecter le RGPD au même titre qu’une société établie en Australie livrant des produits en Espagne.

Pour résumer très simplement, le RGPD a pour objectif de responsabiliser et d’encadrer tout organisme, public ou privé, collectant des données personnelles européennes.

Qu’est-ce qu’une donnée personnelle ?

Dès lors que vous collectez des informations permettant d’identifier une personne physique directement ou par croisement de données, vous collectez ce qu’on appelle des données personnelles.

On distingue deux catégories de données personnelles :

Les données directement rattachées à une personne physique comme par exemple : prénom, nom, n° de sécurité social, ADN…
Les données indirectement rattachées à une personne physique comme par exemple : n° de téléphone, adresse postale, date d’anniversaire, sexe, âge, n° client, n° de plaque d’immatriculation, une photo, un enregistrement vocal, une adresse e-mail, une adresse IP,…

Les données indirectes ne permettent pas d’identifier une personne physique lorsqu’elles sont isolées mais une fois associées, le jeu de piste n’est plus très compliqué :

Exemple : Une femme habitant à telle adresse, inscrite à tel club, née telle date = on vous reconnaît Mme Martine !

Voilà pourquoi ces données restent personnelles et sensibles lorsqu’elles sont collectées dans une même base.

Bon à savoir :

Les informations liées à une personne morale et connues de tous ne sont pas des données personnelles.

Exemple : Société ABC, adresse postale, numéro de téléphone du standard, adresse email générique de contact, XXX salariés, n° SIRET = rien de confidentiel – RAS.

En quoi consiste la collecte et le traitement de données personnelles ?

Il y a traitement de données dès lors que vous devez collecter, consulter, modifier, partager ou extraire des données, que ce soit pour votre compte ou celui d’un tiers.

Dans tous les cas, l’usage que vous allez faire de ces données doit être clairement indiqué et le but final doit être légal mais également légitime par rapport à votre activité.

Exemples d’objectifs impliquant une collecte et un traitement de données :

organiser la livraison un produit
permettre l’édition d’une facture
proposer une carte de fidélité
envoyer une newsletter
géolocaliser une personne pour lui fournir le service souhaité
tenir à jour un fichier fournisseur
etc.

Important :
Au regard du RGPD, vous ne devez pas collecter d’informations “au cas où, pour plus tard, sait-on jamais” mais uniquement lorsque ces données sont vraiment nécessaires pour votre activité.

Le saviez-vous ?
Les données collectées numériquement ne sont pas les seules concernées ! Les documents papier sont tout autant concernés et doivent également respecter ce cadre légal.

Mettre en conformité ses fichiers existants

Pas le choix, il faut bien se lancer un jour et autant en profiter pour faire le ménage et repartir sur de bonnes bases. Pour vous y aider (ou vous permettre de guider au mieux vos clients) voici donc quelques consignes à suivre :

Il est essentiel de procéder à un recensement des traitements de données effectifs et de constituer un registre afin d’avoir une bonne vue d’ensemble sur votre situation actuelle, et de pouvoir assurer la mise en conformité et le contrôle de ces données déjà collectées.

À l’aide de ce registre, il convient ensuite de s’assurer que chaque traitement respecte bien le RGPD et sinon, d’améliorer les pratiques quand c’est nécessaire.

À tout moment, la personne dont les données ont été collectées doit pouvoir les consulter et demander leur modification voire leur suppression définitive.

Dans tous les cas, les données collectées ne peuvent pas être conservées indéfiniment ! Pensez à vous renseigner sur les durées légales de conservation des données.

Enfin, la sécurité des données collectées doit être garantie par des mesures adéquates. Pensez donc à vous renseigner également sur la cybersécurité.

À partir de maintenant, suivez les bonnes pratiques !

Maintenant que vous êtes sensibilisé au RGPD et que vous souhaitez avoir une conformité automatique (pour vous éviter des efforts rétroactifs cf. le registre ci-dessus), anticipez et suivez ces quelques bonnes pratiques pour la mise en place de tout nouveau traitement de données :

Gardez cela à l’esprit : toute collecte de données doit être acceptée au préalable.

L’acceptation doit être expressément donnée ainsi les opt-in sont obligatoires. Pour rappel :

Un Opt-out c’est lorsque l’internaute ne s’est pas opposé. La case est alors pré-cochée et s’il ne dit pas « non » en décochant manuellement la case, le « oui » est induit par défaut (pas bien).
Un Opt-in, c’est tout l’inverse ! L’internaute doit dire “oui” en cochant manuellement la case, sinon c’est “non” par défaut. Son consentement est ainsi bien mieux respecté et il ne risque pas une acceptation par inattention (bien !).

Un lien de renvoi vers la politique de confidentialité doit clairement être identifiable à côté de l’opt-in pour permettre à la personne concernée de se renseigner sur l’usage qui sera fait de ses données.

Enfin, chaque traitement de données doit faire l’objet d’un accord distinct. Voici quelques exemples cumulables :

“Je veux m’abonner à la newsletter”
“J’ai pris connaissance et j’accepte les conditions générales…”
“Je reconnais avoir pris connaissance de la Politique de confidentialité.”
« J’accepte que mes informations soient partagées aux partenaires…”
“J’accepte de partager ces informations pour participer au jeu-concours”

Globalement, pensez à construire rigoureusement votre politique de confidentialité et à la transcrire clairement pour que chacun puisse la consulter facilement et à volonté !

Besoin d’aide pour rédiger votre Politique de confidentialité ?

Laissez-vous guider !

Quelques points de vigilance

La conformité étant évolutive, il convient de l’inscrire dans un contrôle régulier et continu. Le principe est de s’assurer que les traitements respectent toujours les règles mises en place et que toute l’équipe joue le jeu rigoureusement.

Selon la sensibilité des données personnelles que vous collectez (comme les données de santé par exemple), les règles sont bien plus rigoureuses. Nous vous invitons à vous faire accompagner par un partenaire spécialisé dans le domaine, comme un délégué à la protection des données (DPO) par exemple. Ce dernier est là pour conseiller et accompagner les organismes qui le missionnent pour leur conformité.

Enfin, en cas de manquements au RGPD ou à la loi Informatique et Libertés, sachez qu’il existe plusieurs niveaux de sanctions allant du simple rappel à l’ordre, à des amendes administratives voire des sanctions pénales. Sans oublier le déficit d’image encouru lorsque la CNIL oblige les organismes à communiquer sur leurs sanctions. De quoi motiver ceux qui seraient tentés de passer outre…

Pour résumer

Le Règlement Général sur la Protection des Données (RGPD) peut être perçu comme une contrainte logistique mais il faut plutôt le voir comme un allié. Il s’agit du cadre légal qui protège vos données et qui vous permet d’établir une réelle relation de confiance avec votre communauté / vos clients / vos partenaires…

Entamer une démarche de conformité peut sembler chronophage, fastidieux et intimidant mais il suffit de s’armer de patience et de procédures rigoureuses pour avancer pas à pas efficacement.

Dans l’ensemble, posez-vous simplement la question : « les personnes avec qui nous souhaitons interagir sont-elles correctement informées sur nos intentions, l’usage que nous ferons de leurs données personnelles et sont-elles consentantes ? » Si la réponse est oui : beau travail, et sinon : corrigez le tir !

Illustration by Freepik Storyset

Publié par Alsacreations.com

Découvrez
nos autres articles

S'abonner à la newsletter.

pour être averti des nouveaux articles

Merci d'avoir répondu à ce questionnaire !

Nous allons pouvoir étudier votre projet puis nous vous enverrons un devis.

Votre demande de suppression des données personnelles a été envoyé avec succès.

Nous la traiterons dans les plus bref délais

Votre message a bien été envoyé !

Votre demande sera traité dans les plus bref délais

Merci pour votre inscription !

Félicitation ! Vous êtes désormais inscrit et vous recevrez votre première newsletter très bientôt