RGPD : la protection de vos données

RGPD compressé
15/05/2018

A partir du 25 mai 2018, le RGPD (Règlement Général sur la Protection des Données) entrera en vigueur. Une nouvelle loi à l’échelle européenne à laquelle votre entreprise devra s’adapter. Pour vous aider à la comprendre et à l’appliquer correctement, nous éclaircissons avec vous ses objectifs et ce qu’elle implique réellement comme actions de votre part.

Le RGPD (Règlement Général sur la protection des données) entrera en vigueur le 25 mai 2018. Une nouvelle loi à l’échelle européenne à laquelle votre entreprise devra s’adapter, le compte à rebours est lancé. Pour vous aider à la comprendre et à l’appliquer correctement, nous éclaircissons avec vous ses objectifs et ce qu’elle implique réellement comme actions de votre part.

Pourquoi un RGPD ?

Cette loi a pour objectif une extension des droits individuels :

  1. Droit à une information complète sur le traitement des données, exprimée de façon claire et simple avant de donner son consentement
  2. Droit d’être informé en cas de violation de ses données personnelles
  3. Droit à l’oubli pour demander la suppression de ses données
  4. Droit à la portabilité des données (notamment pour changer de fournisseur)
  5. Dispositions propres aux personnes mineures (collecte interdite)

Elle va permettre de :

  • Uniformiser les lois sur la protection des données au sein de l’Union européenne
  • Responsabiliser davantage les entreprises
  • Donner un droit d’accès et de suppression à chaque individu à toutes données personnelles le concernant

Le RGPD impose aux entreprises une obligation de transparence vis à vis de leur clients et salariés qui devront donner leur consentement pour l’utilisation de leurs données personnelles à des fins marketing ou dans toutes autres utilisations de leurs données personnelles.  En effet, les données conservées dans les entreprises (fiches de paie, notes de frais, arrêts maladie…) ou dans les sites web devront faire l’objet d’une traçabilité interne, d’un droit d’accès et de contrôle ou de suppression.

A qui s'adresse le RGPD ?

Sont concernées toutes les entreprises privées ou publiques qui proposent des biens et services sur le marché de l’Union Européenne et/ou qui collectent et traitent des données à caractère personnel sur les résidents de l’UE.

Concrètement, vous êtes une entreprise, vous êtes propriétaire d’un site web, d’une gestion commerciale centralisée, vous envoyez des e-mailings à vos clients, vous détenez des fichiers du personnel sur vos serveurs, alors cette législation va vous impacter !

De quelles données parle-t-on ?

Le RGPD va réglementer la collecte, le stockage, l’utilisation, la consultation et même la destruction des données collectées par votre entreprise sur des individus (par exemple : nom, prénom, date de naissance, lieu de naissance, etc.).

Mise en place du RGPD

C’est un défi majeur auquel la plupart des entreprises vont devoir faire face. Le RGPD va jouer un rôle d’arbitre en vous obligeant en tant qu’entreprise à identifier les bonnes sources de données pour sécuriser votre activité plutôt que d’augmenter vos risques.

Pour vous conformer au RGPD, vous devez à minima respecter les conditions suivantes :

  1. Obtenir un consentement pour chaque collecte de données et le conserver pour pouvoir en justifier (par mail par exemple).
  2. Pour chaque collecte de données, informer préalablement sur la finalité, l’utilisation et la durée de conservation.
    • Si ces données sont utilisées pour des traitements de profilage, vous devez l’indiquer au moment de la prise de consentement.
    • Vous avez également l’obligation de minimiser la collecte des données, en la limitant strictement aux données indispensables au traitement dont elles doivent faire l’objet.
  3. Indiquer clairement le moyen par lequel les personnes peuvent reprendre leur consentement ou faire valoir leurs droits concernant leurs données personnelles.
  4. Être en mesure de justifier via la tenue d’un registre de l’ensemble des types de collectes et de traitements réalisés. Il doit justifier des types de récoltes, types de données, utilisations, conservations, sous-traitance …
  5. Avertir en cas de « fuite » ou de piratage de données personnelles. Le responsable de traitement doit informer la CNIL dans les 72h.

Dans le domaine du web, votre site internet sera dans l’obligation d’assurer le plus haut niveau possible de protection des données personnelles de vos clients. Pour ce faire, vous devrez mettre en place tous les moyens techniques pour respecter les règles imposées par le RGDP tels que :

  • Mettez en place obligatoirement un bandeau demandant l’acception des cookies, afin de recueillir le consentement préalable de vos visiteurs avant d’installer sur leur navigateur des cookies publicitaires
  • Disposez d’un certificat SSL pour sécuriser votre site internet. C’est une norme qui tend déjà à s’étendre sur tous les sites e-commerce et qui est fortement recommandée par Google pour un meilleur référencement de votre site internet. C’est le fameux HTTPS avec le cadenas dans votre barre d’URL. Déjà obligatoire sur les pages de paiement en ligne, le RGPD va étendre la mesure à toutes les pages de votre site ou du moins obligatoirement à tous les formulaires “ personnels”.
  • Modifiez tous vos formulaires (contact, renseignement, abonnement newsletter, compte d’utilisateur …) en ajoutant un bouton d’opt-in volontaire (pas de case précochée), une mention sur l’utilisation et la durée de conservation des données, ainsi qu’un lien pour faire valoir ses droits et notamment reprendre son consentement. Vous devez également conserver la preuve de chaque consentement reçu (confirmation mail ou dans les correspondances du CMS).
  • Créez une page « Exercez vos droits ». Cette page doit donner la possibilité à une personne, de limiter l’utilisation de ses données en reprenant son consentement pour un traitement particulier, de demander la portabilité de ses données ou leur effacement complet. Il s’agit d’un formulaire qui permettra d’engager un processus nécessitant une vérification de l’identité du demandeur.
  • Proposez une page « Politique de confidentialité ». Cette page a pour objectif pédagogique, de démontrer votre respect de la gestion des données qui vous sont confiées, autant pour l’utilisateur que pour la CNIL. Vous y présenterez les types de traitements que vous réservez aux données personnelles qui vous sont confiées, si vous les partagez, cédez ou non à des tiers, le soin que vous apportez à leur sécurité, et vous indiquerez comment chacun peut faire valoir ses droits sur ses données stockées.
  • Modifiez votre page « Mentions légales ». Les mentions légales de votre site devront proposer un paragraphe d'information sur votre démarche RGPD, en remplacement de celui de la CNIL qui n’a plus lieu de figurer. Dans ce paragraphe nous vous conseillons de proposer un lien vers la page « Exercez vos droits » et d’indiquer les coordonnées du responsable de traitement. Vous procéderez de la même manière dans vos CGV si vous pratiquez le e-commerce.

Les sanctions encourues en cas de non-respect du RGPD

La loi introduit des sanctions pour la première fois :

Le législateur l’annonce : des contrôles seront menés et des sanctions encadrées, graduées et renforcées sont prévues.

La CNIL peut notamment :

  • Prononcer un avertissement
  • Mettre en demeure l’entreprise
  • Limiter temporairement ou définitivement un traitement
  • Suspendre les flux de données
  • Ordonner de satisfaire aux demandes d'exercice des droits des personnes
  • Ordonner la rectification, la limitation ou l'effacement des données

S’agissant des amendes administratives, elles peuvent s’élever selon la catégorie de l’infraction :

  • De 10 à 20 millions d’euros (pour les très grandes sociétés)
  • De 2% à 4% du CA annuel (pour les entreprises)

Ainsi, sécuriser la collecte de vos données doit être votre priorité d’ici le 25 mai prochain !

 

Faites appel à des professionnels de la communication pour ne rien laisser au hasard dans votre communication digitale et votre collecte de données.

 

Vidéo explicative sur le RGPD