Le Règlement Général sur la Protection des Données (RGPD), qui entre en application le 25 mai prochain, change en profondeur la façon de collecter, d’exploiter et de stocker les données personnelles.

En tant que Chef d’entreprise, vous devez connaître les nouvelles obligations pour vous y conformer. Ce texte étant assez indigeste, nous avons synthétisé les éléments à connaître.

Qu’est-ce que le RGPD ?

Il s’agit d’un règlement européen sur les données personnelles, qui s’applique à toutes les sociétés traitant des données personnelles de résidents de l’Union Européenne.

Son objectif est d’harmoniser la protection des données personnelles à travers l’Europe, afin de protéger tous les citoyens.

Qu’est-ce qu’une donnée à caractère personnelle ?

Qu’est ce qu’une donnée personnelle ?

Il s’agit de toute information, relative à une personne physique, susceptible d’être identifiée directement ou indirectement. Par exemple : un nom, une photo, une empreinte, une adresse postale, une adresse mail, un numéro de téléphone, un numéro de sécurité sociale, un matricule interne, une adresse IP, un identifiant de connexion informatique, un enregistrement vocal…

Peu importe, que ces informations soient confidentielles ou publiques.

Attention : s’il est possible par recoupement de plusieurs informations (âge, sexe, ville, diplôme, …) ou par l’utilisation de moyens techniques divers, d’identifier une personne, les données sont toujours considérées comme personnelles.

Qui est concerné ?

TPE-PME-ETI-GE tous impactés par le RGPD à leur niveau.

Toutes les entreprises sont concernées.

Une démarche RGPD implique par ailleurs la validation de tous les fournisseurs amenés à stocker des données personnelles. Le règlement introduisant une co-responsabilité des sous-traitants, vous devez vous assurer, que vos fournisseurs sont conformes au RGPD.

Tous les acteurs qui interviennent dans le cycle de vie de la donnée peuvent ainsi voir leur responsabilité engagée jusqu’aux sous-traitants du sous-traitant.

Quelles sont vos obligations ?

Collecter uniquement les données nécessaires

Vous devez collecter uniquement les données, dont vous avez besoin. Par exemple, si vous avez seulement besoin de l’âge de votre client pour lui faire profiter d’une offre spéciale, demandez-lui sa date de naissance mais pas son lieu de naissance.

Vous ne devez conserver ces données que le temps nécessaire à leur utilisation. Par exemple, la CNIL stipule que lors d’un achat sur internet, les coordonnées de la carte bancaire du client ne peuvent être conservées que le temps de la réalisation de l’opération de paiement.

La CNIL indique également qu’en dehors des cas dans lesquels il existe une obligation d’archivage, les données qui ne présentent plus d’intérêt doivent être supprimées sans délai.

Demander systématiquement le consentement de vos clients

Le RGPD, c’est avant tout une information claire et un consentement tracé.

Avant de récolter les données personnelles de vos clients, vous devez demander leur permission et indiquer la finalité de leur utilisation. Par exemple, si vous proposez un abonnement à une newsletter, vous devez préciser que l’email de la personne ne sera utilisé que pour lui envoyer cette lettre d’information ; et lui indiquer comment s’en désabonner si elle le souhaite.

Point majeur du règlement, leur consentement doit être donné de manière claire, par la signature d’un contrat ou la complétude d’un formulaire. Notez par exemple que pré-cocher des cases pour obtenir le consentement d’un client est désormais interdit. Et, vous devez être en mesure de prouver le consentement des personnes concernées. Pour les mineurs de moins de 16 ans, le consentement d’un parent ou d’un tuteur légal est obligatoire.

Enfin, il doit être aussi simple pour vos clients de donner leur consentement que de le retirer.

Important : Le RGPD place le consentement de l’individu au cœur de son approche. Il doit être clair, explicite et sans équivoque. Il devient par conséquent impossible et interdit d’envoyer un email à un prospect, si ce dernier n’a pas explicitement donné son accord. Et, votre précieux fichier de prospection constitué avant l’entrée en vigueur du RGPD est concerné.

Etre capable de fournir à vos clients leurs données personnelles

Le règlement instaure un droit à la portabilité, c’est-à-dire la possibilité d’obtenir les données personnelles les concernant, dans un format lisible et structuré ; dans le but de pouvoir le transmettre à un autre acteur.

Par exemple, si vos clients demandent leurs données personnelles, vous avez l’obligation de :

  • Leur transmettre dans un format lisible et intelligible.
  • Leur indiquer la façon dont laquelle ces données sont utilisées.

Respecter le droit à l’effacement

RGPD c’est rendre le contrôle des données personnelles à l’utilisateur

Le droit à l’oubli vous oblige à garantir aux individus, qui en font la demande, que leurs données sont supprimées dans le délai fixé (délai raisonnable d’un mois).

Vos clients peuvent demander l’effacement de leurs données personnelles, notamment dans les situations suivantes :

  • Les données en question ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées.
  • Les données à caractère personnel ont fait l’objet d’un traitement illicite.
  • Lorsque la personne retire son consentement pour le traitement de ses données personnelles.

Vous pouvez consulter l’article 17 du règlement pour connaître l’ensemble des modalités du droit à l’effacement.

Documenter vos procédures de traitement des données

Vous devez être à tout moment capable de démontrer que le traitement des données de vos clients est effectué conformément au règlement. Pour cela, vous devez tenir un registre des activités de traitement effectuées sous votre responsabilité.

Ce registre doit comporter :

  • Le nom et les coordonnées du responsable du traitement.
  • Les finalités du traitement.
  • Une description des catégories de personnes concernées et des catégories de données à caractère personnel.
  • Les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les destinataires dans des pays tiers ou des organisations internationales.
  • Le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale
  • Dans la mesure du possible, les délais prévus pour l’effacement des différentes catégories de données.
  • Dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles.

Sécuriser les données collectées

Vous êtes responsable de la sécurité des données qui vous sont « prêtées »

Les données personnelles en votre possession (clients et salariés par exemple) doivent être protégées contre tout risque de vol, de perte ou de divulgation. Pour cela, vous devez garantir leur sécurité.

La réforme européenne préconise le cryptage ou la pseudonymisation (remplacer un nom par un pseudonyme) pour les données les plus sensibles. Par données sensibles, le règlement entend des informations faisant référence aux origines raciales ou ethniques, à la religion, aux opinions politiques, philosophiques, syndicales, à la génétique, aux données biométriques, à la santé ou à la sexualité des personnes.

Se préparer à la possibilité d’une fuite de données

L’entreprise doit mettre en place les procédures d’escalade, qui seront activées en cas de violation de données personnelles. Le responsable du traitement doit notifier la Cnil si possible dans les 72 heures après en avoir pris connaissance. Il doit aussi avertir dans les meilleurs délais les personnes concernées quand la fuite présente un risque élevé pour leurs droits et libertés comme le vol de mots de passe ou de numéros de cartes bancaires.

Rédiger une charte de bonnes pratiques au sein de votre entreprise

Une charte annexée au règlement intérieur permet de rappeler aux collaborateurs un certain nombre de bonnes pratiques ainsi que les sanctions encourues en cas de non-respect de la loi. Entre autres, un salarié ne peut accéder ou supprimer des informations ne relevant pas de sa fonction ou enregistrer des données sur un support externe sans accord de sa hiérarchie. Il doit aussi respecter les règles de sécurité définies par le service informatique.

Quelles sont les sanctions encourues ?

C’est la gravité de l’infraction, qui détermine la hauteur de l’amende. La plus sérieuse consiste par exemple à traiter des données personnelles de vos clients sans avoir obtenu leur consentement au préalable. Dans cette situation, vous risquez de payer une amende maximale de 4% de votre chiffre d’affaires consolidé ou de 20 millions d’euros. C’est le montant le plus élevé des deux qui vous serait demandé.

La balle est maintenant dans votre camp !

Au delà de la contrainte, voyez la mise en conformité comme une opportunité de structurer votre société et d’améliorer votre productivité

Le RGPD impose à votre société de se conformer aux dispositions, que nous venons de voir, d’ici le 25 mai 2018. C’est une démarche lourde et engageante, qu’il vous est impossible de négliger sous peine de sanctions financières importantes.

Au-delà des contraintes imposées par le règlement, le RGPD constitue également une opportunité de réduire l’exposition aux risques de votre entreprise et de renforcer la confiance de vos clients. Et pourquoi pas une l’occasion de faire un point sur votre système d’information et de décupler votre productivité.

Nous sommes à vos côtés pour vous aider à mettre en conformité votre organisation. Contactez-nous et nous nous ferons un plaisir de venir vous rencontrer !