Le RGPD, ce qu’il faut absolument savoir

Actualitéweb

Publié par le , mis à jour le (9318 lectures)

RGPD données personnelles

RGPD, définition

RGPD définition Alsacréations

Le Règlement Général sur la Protection des Données (RGPD) s’inscrit dans la continuité de la Loi française « Informatique et Libertés » de 1978.

Les motivations qui ont mené à la mise en place d’un tel cadre légal étaient multiples :

  • S’adapter aux évolutions technologiques et sociétales impliquant toujours plus d’échange de données personnelles.

  • Assurer la sécurité et la traçabilité des données personnelles collectées ainsi que le respect de la vie privée de chacun.

  • Établir une relation consentie, responsable, transparente et de confiance entre chaque organisme et sa communauté/clientèle (fini la vente de vos données à votre insu).

  • Permettre aux internautes d’être gestionnaires de leurs propres données.

  • Mettre sur le même pied d’égalité l’ensemble des organismes établis sur le territoire européen ou ciblant des résidents européens. Ainsi, une société française qui exporte des produits à Bali doit respecter le RGPD au même titre qu’une société établie en Australie livrant des produits en Espagne.

Pour résumer très simplement, le RGPD a pour objectif de responsabiliser et d’encadrer tout organisme, public ou privé, collectant des données personnelles européennes.

Qu’est-ce qu’une donnée personnelle ?

donnée personnelle explication Alsacréations

Dès lors que vous collectez des informations permettant d'identifier une personne physique directement ou par croisement de données, vous collectez ce qu’on appelle des données personnelles.

On distingue deux catégories de données personnelles :

  • Les données directement rattachées à une personne physique comme par exemple : prénom, nom, n° de sécurité social, ADN...
  • Les données indirectement rattachées à une personne physique comme par exemple : n° de téléphone, adresse postale, date d’anniversaire, sexe, âge, n° client, n° de plaque d'immatriculation, une photo, un enregistrement vocal, une adresse e-mail, une adresse IP,...

Les données indirectes ne permettent pas d'identifier une personne physique lorsqu'elles sont isolées mais une fois associées, le jeu de piste n'est plus très compliqué :

  • Exemple : Une femme habitant à telle adresse, inscrite à tel club, née telle date = on vous reconnaît Mme Martine !

Voilà pourquoi ces données restent personnelles et sensibles lorsqu'elles sont collectées dans une même base.

Bon à savoir :

Les informations liées à une personne morale et connues de tous ne sont pas des données personnelles.

  • Exemple : Société ABC, adresse postale, numéro de téléphone du standard, adresse email générique de contact, XXX salariés, n° SIRET = rien de confidentiel - RAS.

En quoi consiste la collecte et le traitement de données personnelles ?

collecte et traitement de données selon Alsacréations

Il y a traitement de données dès lors que vous devez collecter, consulter, modifier, partager ou extraire des données, que ce soit pour votre compte ou celui d’un tiers.

Dans tous les cas, l’usage que vous allez faire de ces données doit être clairement indiqué et le but final doit être légal mais également légitime par rapport à votre activité.

Exemples d’objectifs impliquant une collecte et un traitement de données :

  • organiser la livraison un produit
  • permettre l'édition d'une facture
  • proposer une carte de fidélité
  • envoyer une newsletter
  • géolocaliser une personne pour lui fournir le service souhaité
  • tenir à jour un fichier fournisseur
  • etc.

Important : Au regard du RGPD, vous ne devez pas collecter d’informations “au cas où, pour plus tard, sait-on jamais” mais uniquement lorsque ces données sont vraiment nécessaires pour votre activité.

Le saviez-vous ? Les données collectées numériquement ne sont pas les seules concernées ! Les documents papier sont tout autant concernés et doivent également respecter ce cadre légal.

Mettre en conformité ses fichiers existants

conformité RGPD Alsacréations

Pas le choix, il faut bien se lancer un jour et autant en profiter pour faire le ménage et repartir sur de bonnes bases. Pour vous y aider (ou vous permettre de guider au mieux vos clients) voici donc quelques consignes à suivre :

  1. Il est essentiel de procéder à un recensement des traitements de données effectifs et de constituer un registre afin d’avoir une bonne vue d’ensemble sur votre situation actuelle, et de pouvoir assurer la mise en conformité et le contrôle de ces données déjà collectées.

  2. À l’aide de ce registre, il convient ensuite de s’assurer que chaque traitement respecte bien le RGPD et sinon, d’améliorer les pratiques quand c’est nécessaire.

  3. À tout moment, la personne dont les données ont été collectées doit pouvoir les consulter et demander leur modification voire leur suppression définitive.

  4. Dans tous les cas, les données collectées ne peuvent pas être conservées indéfiniment ! Pensez à vous renseigner sur les durées légales de conservation des données.

  5. Enfin, la sécurité des données collectées doit être garantie par des mesures adéquates. Pensez donc à vous renseigner également sur la cybersécurité.

À partir de maintenant, suivez les bonnes pratiques !

Bonnes pratiques RGPD par Alsacréations

Maintenant que vous êtes sensibilisé au RGPD et que vous souhaitez avoir une conformité automatique (pour vous éviter des efforts rétroactifs cf. le registre ci-dessus), anticipez et suivez ces quelques bonnes pratiques pour la mise en place de tout nouveau traitement de données :

  1. Gardez cela à l’esprit : toute collecte de données doit être acceptée au préalable.

  2. L’acceptation doit être expressément donnée ainsi les opt-in sont obligatoires. Pour rappel :

    • Un Opt-out c'est lorsque l’internaute ne s'est pas opposé. La case est alors pré-cochée et s'il ne dit pas "non" en décochant manuellement la case, le "oui" est induit par défaut (pas bien).
    • Un Opt-in, c’est tout l’inverse ! L’internaute doit dire “oui” en cochant manuellement la case, sinon c’est “non” par défaut. Son consentement est ainsi bien mieux respecté et il ne risque pas une acceptation par inattention (bien !).

  3. Un lien de renvoi vers la politique de confidentialité doit clairement être identifiable à côté de l’opt-in pour permettre à la personne concernée de se renseigner sur l’usage qui sera fait de ses données.

  4. Enfin, chaque traitement de données doit faire l’objet d’un accord distinct. Voici quelques exemples cumulables :

    • “Je veux m’abonner à la newsletter”
    • “J’ai pris connaissance et j’accepte les conditions générales…”
    • “Je reconnais avoir pris connaissance de la Politique de confidentialité.”
    • "J'accepte que mes informations soient partagées aux partenaires…”
    • “J’accepte de partager ces informations pour participer au jeu-concours”

Globalement, pensez à construire rigoureusement votre politique de confidentialité et à la transcrire clairement pour que chacun puisse la consulter facilement et à volonté !

Besoin d’aide pour rédiger votre Politique de confidentialité ?
Laissez-vous guider !

Quelques points de vigilance

points de vigilance RGPD par Alsacréations

  • La conformité étant évolutive, il convient de l’inscrire dans un contrôle régulier et continu. Le principe est de s’assurer que les traitements respectent toujours les règles mises en place et que toute l'équipe joue le jeu rigoureusement.

  • Selon la sensibilité des données personnelles que vous collectez (comme les données de santé par exemple), les règles sont bien plus rigoureuses. Nous vous invitons à vous faire accompagner par un partenaire spécialisé dans le domaine, comme un délégué à la protection des données (DPO) par exemple. Ce dernier est là pour conseiller et accompagner les organismes qui le missionnent pour leur conformité.

  • Enfin, en cas de manquements au RGPD ou à la loi Informatique et Libertés, sachez qu’il existe plusieurs niveaux de sanctions allant du simple rappel à l'ordre, à des amendes administratives voire des sanctions pénales. Sans oublier le déficit d’image encouru lorsque la CNIL oblige les organismes à communiquer sur leurs sanctions. De quoi motiver ceux qui seraient tentés de passer outre...

Pour résumer

Le Règlement Général sur la Protection des Données (RGPD) peut être perçu comme une contrainte logistique mais il faut plutôt le voir comme un allié. Il s'agit du cadre légal qui protège vos données et qui vous permet d'établir une réelle relation de confiance avec votre communauté / vos clients / vos partenaires...

Entamer une démarche de conformité peut sembler chronophage, fastidieux et intimidant mais il suffit de s'armer de patience et de procédures rigoureuses pour avancer pas à pas efficacement.

Dans l'ensemble, posez-vous simplement la question : "les personnes avec qui nous souhaitons interagir sont-elles correctement informées sur nos intentions, l'usage que nous ferons de leurs données personnelles et sont-elles consentantes ?" Si la réponse est oui : beau travail, et sinon : corrigez le tir !

Illustration by Freepik Storyset

Sources :
https://www.cnil.fr/fr/rgpd-de-quoi-parle-t-on
https://www.cnil.fr/fr/definition/donnee-personnelle
https://www.cnil.fr/fr/reglement-europeen-protection-donnees
https://www.cnil.fr/fr/comprendre-le-rgpd
https://www.cnil.fr/sites/default/files/atoms/files/bpi-cnil-rgpd_guide-tpe-pme.pdf
https://www.cnil.fr/fr/adopter-les-six-bons-reflexes
https://www.legalplace.fr/guides/politique-de-confidentialite-rgpd/

Commentaires

Merci pour l'article !

En complément, dans le livre de Shoshana Zuboff, chercheuse-enseignante à Harvard, elle parle du droit à l'oubli (c'est son domaine de prédilection).

On y apprend que l'élément principal déclencheur des RGPD / du droit à l'oubli, c'est surtout en 2010, une plainte d'un espagnole vis à vis de Google Espagne qui n'a pas voulu supprimer des résultats de recherche le concernant, suite à une affaire de recouvrement de dettes.

C'est grâce à l'AEPD (Agence Espagnole pour le Protection des Données) qu'il a eu gain de cause, et de là est vraiment parti le cadre essentiel aux RGPDs de manière internationale.

Cette affaire est en quelque sorte une belle jurisprudence des RGPDs.

@alex6-so : Merci pour votre retour et ce complément d'information :) C'est intéressant de connaitre le point de départ.

Commentaires clos