fbpx
.st0{fill:#FFFFFF;}

Les bases du business

Entrepreneurs : tout ce que vous devez connaître sur le RGPD

Par  L'équipe Masterschool

Nous recevons très souvent des messages relatifs au RGPD et nous vous proposons aujourd’hui d’aborder cette question, en sachant que le sujet sera détaillé en plusieurs parties.

Quels sont les principes du Règlement Général de Protection des Données ? Que devez-vous savoir réellement en vous lançant dans votre activité ? Nous vous disons tout dans cet article.

Le RGPD - les principes à connaître

Le RGPD : les principes à connaître

Le RGPD, qu’est-ce que c’est ?

Le Règlement Général de Protection des Données, entré en application le 25 mai 2018, est un texte réglementaire européen créé pour normaliser le traitement des données personnelles sur tout le territoire de l’Union européenne. Ce RGPD édicte les règles de collecte et d’utilisation de ces données personnelles.

Qui est concerné ?

Tout organisme, quels que soient sa taille, son pays d’implantation et son activité, peut être concerné.

En effet, le RGPD s’applique à toute organisation, publique et privée, qui traite des données personnelles pour son compte ou non, dès lors :

  • Qu’elle est établie sur le territoire de l’Union européenne,
  • Ou que son activité s’adresse directement à des résidents européens.

Qu’est-ce qui relève des données personnelles ?

Une donnée personnelle est décrite par la CNIL comme « toute information se rapportant à une personne physique identifiée ou identifiable ». Il existe 2 types d’identifications :

  • Identification directe (nom, prénom, etc.).
  • Identification indirecte (identifiant, numéro, etc.).

Lorsqu’une opération ou un ensemble d’opérations portant sur des données personnelles sont effectuées, on considère qu’il s’agit de traitement de données. La CNIL donne les actions suivantes, à titre d’exemple du traitement des données :

  • Tenue d’un fichier de ses clients.
  • Collecte de coordonnées de prospects via un questionnaire.
  • Mise à jour d’un fichier de fournisseurs.

Le RGPD concerne également les sous-traitants, c’est-à-dire toute structure qui traiterait ou collecterait des données pour le compte d’une autre entité.

La CNIL conseille 6 bonnes attitudes pour une bonne application du RGPD :

  • Ne collectez que les données vraiment nécessaires.
  • Soyez transparent.
  • Respectez le droit des personnes en matière de consultation, de rectification ou de suppression des données.
  • Gardez la maîtrise des informations que vous collectez.
  • Identifiez les risques liés à votre traitement de données.
  • Déployez des dispositifs de sécurisation des données collectées (physiques et numérique).

Les principales obligations à respecter 

Nous développerons les obligations imposées par le RGPD dans une seconde partie, mais, très succinctement, pour être en conformité avec cette nouvelle réglementation, notez déjà que votre entreprise doit :

  • Demander l’approbation des personnes dont vous collectez et gérez les données. Le consentement de vos clients doit être donné par « une action claire et affirmative » de leur part (pas de cases précochées ou d’options présélectionnées).
  • Proposer un droit de rectification et un droit à l’oubli, afin de garantir à ces personnes un contrôle de leurs données.
  • Prouver que vous collectez ces données dans un objectif précis, uniquement selon le besoin de votre entreprise.
  • Si vous travaillez avec des sous-traitants, vérifier qu’ils sont bien en conformité avec le RGPD.
  • En cas de perte, de vol ou de violation des données, réagir immédiatement. Avertissez la CNIL le plus rapidement possible. Et si le problème risque de porter atteinte aux droits et libertés des personnes (vol de mots de passe, de numéros de carte bleue…), prévenez ces personnes immédiatement.
Les obligations imposées par le RGPD

Nous vous avons évoqué plus haut les généralités du RGPD. Nous allons maintenant passer en revue vos principales obligations, imposées par cette législation, afin que vous soyez en conformité.

1/ Sécuriser les données collectées 

Les données personnelles collectées doivent être protégées contre tout risque de vol, de perte ou de divulgation. Vous devez assurer leur sécurité. Le site de la CNIL vous propose quelques méthodes non exhaustives : en cas de vol, destruction ou pertes de ces données, vous avez l’obligation d’en avertir la CNIL ainsi que les personnes concernées dans les 72 heures. Il est recommandé de vous assurer contre ce risque.

2/ Collecter uniquement les données nécessaires 

 Vous devez collecter uniquement les données dont vous avez besoin.

Vous ne devez conserver ces données que le temps nécessaire à leur utilisation. La CNIL indique notamment que :

« Lors d’un achat sur Internet, les coordonnées de la carte bancaire du client ne doivent être conservées que le temps de la réalisation de l’opération de paiement. »

« Les coordonnées d’un prospect qui ne répond à aucune sollicitation pendant 3 ans doivent être supprimées. »

La CNIL demande également « qu’en dehors des cas dans lesquels il existe une obligation d’archivage, les données qui ne présentent plus d’intérêt soient supprimées sans délai. »

3/ Demander le consentement de vos clients avant de collecter leurs données personnelles et leur permettre de le retirer à tout moment 

Avant de collecter les données personnelles de vos prospects ou clients, vous devez demander leur consentement et indiquer la finalité de leur utilisation.

Ce consentement doit être donné de manière claire, explicite et non équivoque. Pré-cocher des cases pour obtenir ce consentement est interdit. Enfin, il doit être aussi facile pour vos clients de retirer leur consentement que de le donner.

Attention : vous devez pouvoir, à tout moment, prouver ce consentement explicite.

4/ Pouvoir fournir aux clients leurs données personnelles en votre possession

Si vos clients demandent à consulter leurs données personnelles, vous avez l’obligation de :

  • Leur transmettre celles-ci dans un format lisible et intelligible.
  • Leur indiquer de quelle façon ces données sont utilisées.

5/ Respecter le droit à l’effacement 

Vos clients peuvent demander l’effacement des données à caractère personnel qui les concernent, dans un certain nombre de situations, notamment lorsque ces données « ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées », ou que la personne retire son consentement pour le traitement de ses données personnelles.

6/ Tenir un registre des activités de traitement effectuées 

Vous devez, à tout moment, être capable de prouver que le traitement des données que vous collectez est conforme au règlement.

Pour cela, vous devez tenir « un registre des activités de traitement effectuées ». Renseignez-vous sur les données que doit contenir ce registre. 

7/ Quelles sont les sanctions encourues ? 

En cas de contrôle ou de plainte, une échelle de sanctions allant de l’avertissement à de très lourdes amendes est prévue. C’est la gravité de l’infraction qui déterminera la sanction, sachant qu’est considéré comme l’une des plus graves le fait de collecter des données sans le consentement de la personne concernée. La volonté du législateur est de donner un caractère lourdement dissuasif à ces sanctions. C’est donc la survie de votre site ou boutique en ligne qui peut être en jeu.

Le RGPD et le registre des traitements de données

Le RGPD et le registre des traitements de données

Parmi les obligations générales relatives au RGPD, dont nous avons parlé plus haut, figure celle de tenir un « registre des activités des traitements ».

La tenue de ce registre remplace l’obligation de déclaration préalable auprès de la CNIL.

Il doit permettre au responsable du traitement ou à son sous-traitant de démontrer, en cas de contrôle, que ses activités de traitement sont conformes aux règles posées par le RGPD.

1/ Qui est concerné ?

L’obligation de tenir un registre des traitements concerne toutes les entreprises et organisations qui collectent des données personnelles.

Le règlement prévoit que celles comptant moins de 250 employés sont autorisées, par dérogation, à ne mentionner sur ce registre que :

  • Les traitements non occasionnels, c’est-à-dire habituels. Sont considérés comme « habituels » les traitements de données de gestion de la clientèle, des fournisseurs ou encore la gestion du personnel,
  • Les traitements susceptibles de comporter un risque pour les droits et libertés des personnes dont les données sont traitées,
  • Les traitements portant sur des données dites « sensibles » (données médicales, infractions, etc.).

2/ Quelles informations faut-il inscrire dans le registre ?

La CNIL définit ainsi le contenu de ce registre :

« Le registre du responsable de traitement doit recenser l’ensemble des traitements mis en œuvre par votre organisme.

Ce registre doit comporter le nom et les coordonnées de votre organisme ainsi que, le cas échéant, de votre représentant, si votre organisme n’est pas établi dans l’Union européenne, et de votre délégué à la protection des données si vous en disposez.

En outre, pour chaque activité de traitement, la fiche de registre doit comporter au moins les éléments suivants :

  • Le cas échéant, le nom et les coordonnées du responsable conjoint du traitement mis en œuvre,
  • Les finalités du traitement, l’objectif en vue duquel vous avez collecté ces données ;
  • Les catégories de personnes concernées (client, prospect, employé, etc.) ;
  • Les catégories de données personnelles (exemples : identité, situation familiale, économique ou financière, données bancaires, données de connexion, données de localisation, etc.) ;
  • Les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les sous-traitants auxquels vous recourez ;
  • Les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale et, dans certains cas très particuliers, les garanties prévues pour ces transferts ;
  • Les délais prévus pour l’effacement des différentes catégories de données, c’est-à-dire la durée de conservation, ou à défaut les critères permettant de la déterminer ;
  • Dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles que vous mettez en œuvre. »

Il s’agit des informations minimales à mentionner. Il est donc tout à fait possible d’indiquer d’autres éléments, en fonction de votre activité.

3/ Comment tenir le registre ? 

Les textes ne fixent aucun modèle type obligatoire : vous pouvez choisir la forme de votre registre.

Les seuls critères donnés par les textes concernent la présentation sous la forme écrite, y compris électronique. Le registre doit être clair, compréhensible et lisible.

La CNIL propose sur son site un modèle auquel vous pouvez accéder en passant par cette page : 

4/ Que risquez-vous en l’absence de registre des traitements, ou en cas de mauvaise tenue ?

L’autorité de contrôle peut vous adresser avertissements ou injonctions, mais elle peut également vous condamner au paiement d’une amende administrative pouvant aller jusqu’à 2 % de votre chiffre d’affaires annuel mondial.

RGPD - devez-vous nommer un Délégué à la protection des données (DPO)

RGPD : devez-vous nommer un Délégué à la protection des données (DPO) ?

Le RGPD, applicable depuis mai 2018, a créé une nouvelle fonction dans les entreprises : celle de délégué à la protection des données. Ce règlement comporte de nombreuses obligations et, pour certaines entreprises, la nomination d’un délégué à la protection des données (DPO) constitue l’une de ces obligations.Alors êtes-vous concerné ?

Nommer un DPO : une obligation ?

Sa nomination n’est pas obligatoire dans toutes les entreprises. Mais :

  • Si vous êtes une autorité ou un organisme public ;
  • Si vous avez une activité nécessitant un suivi régulier et systématique des personnes à grande échelle ;
  • Si vous traitez des données sensibles comme celles qui se rattachent à l’origine raciale, aux opinions politiques, philosophiques ou religieuses, à la santé, vie sexuelle, etc.

… si vous êtes dans l’une de ces trois situations, la nomination d’un DPO est obligatoire.

Hors de ces trois cas, il est possible de le faire volontairement, et la CNIL ainsi que les autorités européennes vous encouragent à recourir à cette désignation volontaire.

Les organismes non soumis à l’obligation de désignation d’un DPO et ne souhaitant pas en nommer un peuvent recourir à des consultants extérieurs chargés de la protection des données à caractère personnel. En tout état de cause, le responsable de traitement conservera les obligations lui incombant.

Quelle mission pour le DPO ?

Le DPO a pour mission de s’assurer que son employeur ou son client respecte la législation lorsqu’il utilise des données personnelles à des fins commerciales, mais aussi à des fins internes.

Spécialiste du RGPD, il doit veiller au quotidien à la conformité de votre entreprise au RGPD. Il lui appartient de s’informer sur les nouvelles obligations, de vous assister quant aux conséquences des traitements, d’en réaliser l’inventaire, et de concevoir des actions de sensibilisation. Il doit être consulté pour toutes les problématiques liées à la protection des données à caractère personnel.

Le DPO doit tenir le registre du traitement des données (dont nous vous avons parlé dans une Lettre Business antérieure). Interlocuteur désigné de votre entreprise pour les autorités de contrôle, il est notamment amené à coopérer avec la CNIL.

Recruter un DPO : comment le choisir ?

Un DPO, c’est un professionnel du droit. Son niveau de compétence tant technique que réglementaire doit permettre de répondre à la nature, à la complexité des traitements et au niveau de protection exigé pour les données. Le DPO doit être au fait des pratiques en matière de protection des données personnelles. C’est un véritable expert de la question.

Recourir à un DPO, même si vous n’en avez pas l’obligation, c’est augmenter vos chances d’être en conformité et d’éviter des sanctions qui peuvent être très lourdes. Vous pouvez externaliser cette mission et faire appel à un spécialiste en nouvelles technologies. Il est aussi possible de désigner un DPO en ligne grâce au service proposé par la CNIL. Enfin, des professionnels proposent également leurs services en ligne.

Et n’oubliez pas, en cas de questions spécifiques, de faire appel à des professionnels (avocat, comptable, etc.) qui pourront vous conseiller.

{"email":"Email address invalid","url":"Website address invalid","required":"Required field missing"}
Nullam tempus dapibus risus. Donec dictum elit.