N’ayez pas peur du RGPD

Le RGPD, ou règlement de protection des données, rentrera en vigueur le 25 mai 2018. Il vient renforcer l’action de la CNIL, Commission Nationale de l’Informatique et des Libertés.

Pas de panique, même s’il rentre en vigueur le 25 mai 2018, la mise en conformité pouvant être assez lourde pour certaines entreprises, vous avez 3 ans pour vous être en règle.

Pour vous petite entreprise, qu’est-ce que cela va changer ? RGPD est-ce un mot dont il faut avoir peur ? Concrètement, ça veut dire quoi ?

N’ayez crainte, on se fait un petit débrief !

Pourquoi la mise en place de ce nouveau règlement ?

Il s’agit avec nouveau règlement de renforcer les actions qui étaient déjà en place en ce qui concerne la protection des données, et surtout d’avoir une seule et unique réglementation au niveau européen. Le RGPD devra donc remplir ces trois objectifs :

  1. Consolider les droits des personnes physiques.
  2. Renforcer le pouvoir des autorités européennes.
  3. Responsabiliser les entreprises qui traitent des données personnelles.

Dans RGPD il y a données. Ok, mais lesquelles ?

L’objet du nouveau règlement concerne le traitement des données à caractère personnel.

Une donnée à caractère personnel désigne en fait toute information qui se rapporte à une personne physique identifiée ou identifiable. Donc les données anonymes sont exclues ainsi que les données concernant les entreprises. En revanche les pseudonymes sont inclus.

Ces informations peuvent être : identité, coordonnées, habitude de consommation, mais aussi annuaire d’entreprise ou trombinoscope…

Lorsqu’on parle du traitement de données , cela signifie que vous réalisez des opérations manuelles ou automatisées afin de les collecter, enregistrer, modifier, mettre à disposition…

Donc pour faire simple , vous tenez un fichier client informatisé avec ne serait-ce que les noms, prénoms de vos clients ou prospects, vous êtes concerné par le RGPD.

En revanche, n‘enregistrer que le code postal de vos clients, sans les identifier, vous dispense de ce règlement.

En clair, on va vous obliger à quoi ?

Dès lors vous êtes soumis à ces 6 obligations :

  1. Le consentement loyal et clair : vous n’avez pas contraint des personnes à vous transmettre ces données, ni ne les avez eus à leur insu. Elles vous les ont données d’elle-même. Elles ont eu le choix de s’opposer à l’utilisation de ces données à des fins marketing, et elles peuvent les corriger à tout moment.
  2. Le Droit à l’oubli : si elles le souhaitent les personnes qui vous ont confié leurs informations peuvent demander à tout moment que ces dernières soient supprimées de vos fichiers.
  3. L’information obligatoire en cas de piratage : si vous vous faites pirater vos fichiers informatiques, vous devez en informer immédiatement la CNIL, ainsi que les personnes étant citées dans ces fichiers.
  4. Limitations des finalités : lorsqu’une personne accepte de vous donner ses informations personnelles, elle doit savoir ce que vous allez en faire et combien de temps vous allez garder ces informations dans vos fichiers.
  5. La Sécurité : les informations dites sensibles (santé, orientation sexuelle, religion, opinion politique) doivent être protégées avec des garanties supérieures, c’est-à-dire contre le piratage, ou le vol.
  6. Établir un registre de traitement des données : vous rédigez un document qui explique qui à accès aux informations récoltées, pourquoi, comment, pour combien de temps, comment elles sont protégées, quels sont les risques de porter atteinte aux droits et libertés des personnes.

En clair pour récolter des données sur vos clients, ils doivent être d’accord, savoir quel usage vous en ferez et combien de temps vous les garderez. Ils doivent aussi pouvoir s’opposer s’ils le souhaitent à l’utilisation de ces données à des fins marketing, et pouvoir les modifier ou les supprimer à tout moment. En cas de piratage ou vol vous devez les informer, ainsi que la CNIL.

En Outre si vous conservez des données sensibles, vous devez vous protéger contre le piratage informatique, et le vol des fichiers. Enfin vous rédigez dans un document votre politique de conservation des données.

Quelle punition ?

En cas de manquement à ces obligations, la sanction peut aller de l’avertissement, à 4% du CA et 20 millions d’euros.

Bien entendu cela dépend du nombre d’obligations manquantes, et de la sensibilité des données concernées.

6 étapes pour bien rédiger son registre de traitement des données.

Une des grosses nouveautés du RGPD concerne la rédaction de ce registre de traitement des données. C’est sans aucun doute la pièce la plus longue et fastidieuse à mettre en œuvre.

Alors nous vous livrons le chemin à suivre pour bien rédiger ce document.

  1. En premier vous  désignez un pilote, c’est-à-dire la personne qui gère le ou les dossiers de données ainsi que leur protection.
  2. Ensuite, vous devez cartographier le cheminement de ces fameuses données au sein de votre entreprise. Pour cela il faut vous répondre à 6 questions : QUI (qui y a accès) ? QUOI (quels genres de données) ? POURQUOI (à quoi servent-elles) ? Où (où sont-elles stockées) ? JUSQU’A QUAND ? COMMENT (comment sont-elles protégées) ?
  3. Une fois que vous vous serez assuré que toutes les données collectées sont bien nécessaires à votre entreprise, qu’elles ont été récoltées dans un cadre légal (c’est-à-dire avec consentement…), et qu’elles sont bien protégées. Vous devez les classer des plus au moins sensibles, et traiter en priorité la sécurité des données les plus sensibles.
  4. Pour les données dont le traitement impacte directement les droits et liberté des personnes, vous allez devoir identifier et gérer les risques. Il s’agit de mener une analyse d’impact. Autrement dit analysez de quelle façon le traitement de ces données peut affecter les droits et liberté de ces personnes.
  5. Enfin il vous faut donc mettre en place un processus qui permette de limiter les risques d’atteinte au droit et liberté, c’est-à-dire protéger ces données.
  6. Il ne vous reste plus qu’à rédiger le registre. Pour cela pensez à répondre à ces trois questions : Comment sont traitées les données récoltées ? L’information des personnes est-elle respectée et comment ? Quels sont les contrats qui définissent les rôles et responsabilités des différents acteurs ?

Je vous l’accorde, cela paraît un peu lourd et fastidieux.

Prenons l’exemple d’une coiffeuse à domicile.

Dans son fichier client elle conserve l’adresse, le téléphone et la date anniversaire de chacune de ses clientes.

Elle pourrait rédiger le registre suivant :

Je me désigne moi-même comme pilote. Je suis seule à avoir accès au fichier de données de mes clientes.

Dans ce fichier,  je conserve leur nom, adresse postale, téléphone, e-mail, et date de naissance afin de leur communiquer les informations sur mon entreprise, leur faire parvenir d’éventuelle promotion, leur envoyer mes vœux, leur souhaiter un joyeux anniversaire.

Ce fichier ne sert qu’à la communication autour de mon entreprise, ainsi qu’à moi-même pour savoir où se situe le domicile de mes clientes. Elles ont bien rempli un formulaire de consentement ci-joint où elles sont informées de leur droit sur ces données.

Je stocke mes données un disque dur externe de marque….dans le fichier intitulé… Je dispose d’une protection anti-virus de marque…Je dispose de ces données jusqu’à ce que la cliente souhaite les retirer.

J’espère que cela paraît plus clair pour vous.

Il s’agit en fait de s’assurer que les données personnelles de vos clients sont protégées, en identifiant qui y a accès, pour quoi faire et si oui ou non cela porte atteinte à leurs droits et libertés.

Après tout, si vous respectez vos clients, vous leur devez bien ça. Ils vous font confiance, montrez-leur qu’ils ont raison.

Sur le site de la CNIL, vous trouverez pour vous aider un exemple de registre, ainsi qu’un logiciel de PIA (analyse d’impact) à télécharger pour vous aider.

https://www.cnil.fr/fr/rgpd-comment-la-cnil-vous-accompagne-dans-cette-periode-transitoire

Autres sources : https://www.boutique-box-internet.fr/rgpd/

Courant Avril la CNIL devrait également publier en téléchargement un livret explicatif pour le TPE et PME.

Exemple de registre à télécharger
exemple de registre à télécharger

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.