Cadeau fin année entreprise
Cadeau d’entreprise fin d’année : une bonne idée ou dépassé ?
10 décembre 2017
Conférence RGPD protection des données personnelles - Vocation recrutement
Petit-déjeuner conférence RGPD
27 mars 2018

Protection des données personnelles : êtes-vous prêt pour la RGPD ?

Mise en conformité RGPD : quelles actions mettre en place ?

Le 25 mai 2018, le règlement sur la protection des données personnelles (RGPD, en français) entrera en vigueur.

Jusqu’à présent, chaque pays européen avait ses propres lois et il s’agit aujourd’hui, d’avoir une réglementation commune, quel que soit le pays. Si auparavant la mise en conformité était d’ordre déclaratif (remplir sa déclaration CNIL) et les sanctions absentes, ce ne sera plus le cas à partir du 25 Mai prochain. La RGPD expose les entreprises à de lourdes sanctions financières (2 à 4 % du chiffre d’affaires).
Ce nouveau règlement impacte l’ensemble des acteurs proposant des biens et services sur le marché européen, du micro-entrepreneur au grand groupe, en passant par les associations et organismes publics. Quels en sont les enjeux de la RGPD pour les entreprises et collectivités ? Comment s’y préparer ?

  • Préambule : qu’entend-on par protection des données personnelles ? Que ce soit vos fichiers clients, prospects ou salariés, ils contiennent tous des données personnelles des personnes concernées.
    > Par exemple IBAN, numéros de téléphone, email personnel, identifiants divers, données biométriques, données de santé, enregistrements caméras etc…

 

> Voici l’essentiel de la nouvelle réglementation RGPD :

Principe Explications Exemple
Principe de minimisation La collecte des données doit se cantonner au strict nécessaire. un vendeur de produits cosmétiques n’a pas à savoir si son client est un amateur de séries télévisées.
Consentement En pratique, le règlement impose de rendre plus clair le consentement des internautes au traitement des données les concernant, par exemple au moyen d’une déclaration écrite ou par voie électronique (cocher une case). L’accord doit être « libre, spécifique, éclairé et univoque ». « Il ne saurait y avoir de consentement en cas de silence, de cases cochées par défaut ou d’inactivité, précise le règlement. […] Lorsque le traitement a plusieurs finalités, le consentement devrait être donné pour l’ensemble d’entre elles.

Le consentement est le fondement au traitement des données. L’entreprise doit dans la mesure du possible intégrer la protection de la vie privée dès la conception du logiciel ou du service et mettre en place les outils adéquats pour préserver la liberté de choix de l’utilisateur.

Case à cocher pour recevoir les emails commerciaux, possibilité de cocher ou décocher la géolocalisation dans un smartphone, bouton sur une enceinte connectée signalant qu’elle est allumée et enregistre les conversations…
Preuve du consentement Lorsque le traitement est fondé sur le consentement de la personne concernée, le responsable du traitement doit être capable de prouver ce consentement. Preuve numérique ou écrite du consentement.
Mise en place d’outils Les outils de collecte ou gestion interne de l’entreprise (CRM) doivent permettre à l’utilisateur d’exercer son droit d’accès aux données, son droit de les rectifier, son droit de s’opposer à certains types de traitements
Auto-responsabilisation Il appartient à l’entreprise de prendre toutes les mesures nécessaires pour remplir ses obligations de protection des données, et être capable de le démontrer à tout moment. À cet effet, elle devra tenir un registre recensant les catégories de données traitées, les finalités du traitement, les pays où elles sont transférées, la durée de conservation, etc. Les entreprises qui, notamment, traitent des données à grande échelle, devront désigner un responsable délégué à la protection des données (DPO) dédié au contrôle de la conformité au GDPR (entreprise de plus de 250 collaborateurs). Registre des données + responsable désigné des données
Sécurité par défaut L’entreprise doit prendre les mesures nécessaires pour sécuriser les données, notamment par le chiffrement ou la « pseudonymisation ». Elle doit aussi mettre en place des outils de détection de failles de sécurité. Elle doit être en mesure de prouver à n’importe quel moment, que les données à caractère personnel qu’elle détient, sont protégées et surtout inexploitables en cas de vol.
Droit à l’oubli numérique Le droit à l’effacement des données, droit au déréférencement d’une information ou d’un lien par un moteur de recherche. La personne peut s’adresser directement au responsable de traitement dans le cas, par exemple, où l’entreprise a conservé ses données plus longtemps que nécessaire au vu des finalités annoncées. Relation client : Adresse de contact où s’adresser en cas de demande d’effacement des données + processus d’effacement. Contrôle de la durée de conservation des données.
Ressources humaines : Process interne pour les salariés d’avoir accès à leurs données et de pouvoir exercer leur droit d’opposition.
Réparation des dommages Les associations dédiées à la protection des données pourront introduire des recours collectifs. L’objectif est de faire cesser le dommage causé par la violation du règlement.
Amendes dissuasives en cas de manquement En cas de non conformité à la RGPD, l’entreprise encourt, selon le manquement constaté, jusqu’à 2 % ou 4 % du chiffre d’affaires mondial de l’entreprise dans la limite de 10 ou 20 millions d’euros

 

> Quelles répercutions concrètes pour l’entreprise ?

Exemple pour le fichier des salariés :

L’employeur n’a pas à demander l’accord des salariés pour traiter leurs données. Il devra néanmoins
– les informer de l’existence d’un « traitement » et des données qu’il contient
, sous peine de lourdes sanctions.
– leur indiquer sur quel fondement légal il traite leurs données : nature des données traitées, la finalité du traitement, la durée de conservation des données, leur localisation.
– Le salarié dispose d’un droit de rectification et d’un droit d’opposition. Il peut s’opposer à tout traitement de données qui n’est pas destiné à la gestion de son contrat de travail et de sa carrière dans l’entreprise, L’entreprise est alors dans l’obligation d’effacer la partie du traitement des données que le salarié refuse. Il s’agit donc, pour être conforme, de mettre en place un outil permettant à chaque salarié d’être informé du traitement de ses données et d’être en mesure d’exercer son droit d’opposition.
A noter : En cas de conflit avec l’entreprise, le RGPD pourrait alors devenir une arme ou un moyen de pression juridique

Exemple pour le fichier des clients :

Les entreprises ou sites marchands qui traitent les données postales et bancaires des acheteurs n’ont pas à leur demander leur accord préalable s’agissant, en principe, d’un « traitement de données sans consentement » nécessaire pour l’acte d’achat-vente. L’entreprise doit néanmoins :
– informer ses clients de l’existence d’un tel traitement et leur notifier leur droit d’accès et de rectification de leurs données, ainsi que leur droit d’opposition à être prospecté, par le biais d’un lien de désinscription par exemple.
– Dès lors que l’entreprise vend un produit d’une autre famille que celui qu’il a acheté, le client redevient son prospect, ce qui implique un nouveau traitement de données. Cela signifie que le RGPD, autorise la prospection commerciale sans le consentement des intéressés, jusqu’à l’exercice du droit d’opposition du prospect.
– En cas d’opposition, l’entreprise devra effacer immédiatement les données de prospection de sa base de données. Et cet effacement sera désormais contrôlé et sanctionné.

 

> Mise en conformité du RGPD : par où commencer ?

Il s’agit dans un premier temps de recenser si vous traitez des données personnelles, concernant vos salariés (sûrement), vos clients (sûrement) et vos prospects et de regrouper dans un registre RGPD (tableau excel) les réponses aux questions suivantes :

  • QUI traite les données ? quels responsables dans votre entreprise, quels sous-traitants ?
  • QUOI ? quelles données sont traitées, lesquelles sont sujet à risque en raison de leur sensibilité particulières (ex, données de santé, financières, infractions…) ?
  • POURQUOI ? A quelles fins sont utilisées ces données (gestion commerciale, RH …) ?
  • OU sont stockées ces données ?
  • JUSQU’A QUAND : indiquer pour chaque catégorie de données, combien de temps vous allez les conserver ?
  • COMMENT ont été obtenues ces données ? quels sont les outils de collecte et respectent-ils bien le droit de consentement préalable, le droit d’opposition et de rectification des données ?
  • DANS QUELLES CONDITIONS de sécurité sont stockées ces données ? Quels sont les moyens mis en œuvre pour limiter les risques et les accés à ces données ?

Une fois ce registre établi, définissez un responsable projet et fixez-vous des priorités et un calendrier de mise en conformité au RGPD. Pour certaines PME, c’est un dossier, qui peut vite impacter son outil informatique et donc son budget. C’est pourquoi, il faut d’ores et déjà prendre en compte cette problématique et pouvoir démontrer, en cas de contrôle, que même si la mise en conformité n’est pas totalement effective, les actions correctives sont lancées.

Si vous êtes une PME de St Marcellin ou région, n’hésitez pas à nous contacter pour toute question complémentaire sur le sujet !
contact@boostacom.fr ou tel 06 26 94 14 19

 

  • En savoir plus  :

Article Le Point

Article CNIl RDPD, comment se préparer en 6 étapes, avec modèle de registre à télécharger

Article e-marketing.fr, avec coordonnés de prestataires spécialisés