En tant que consommateurs, nous laissons nos données personnelles derrière nous chaque jour. Les entreprises qui les collectent et qui les traitent ont des obligations, notamment celle de suivre à la lettre le RGPD. Si vous êtes chef d’entreprise ou freelance, vous pouvez être concernés à titre professionnel. Et pour bien l’appliquer, il est important de comprendre ce qu’est le RGPD, ce qu’il implique et les risques encourus. La loi européenne vise à protéger toutes les informations collectées auprès des citoyens et résidents européens, et ce que les entreprises en font. Voici un guide pour vous aider à comprendre le RGPD.
Le RGPD, qu’est-ce que c’est ?
Le RGPD ou Règlement Général de la Protection des Données, est une loi entrée en vigueur depuis le 25 mai 2018. Face à l’explosion du numérique et à la diffusion des données personnelles, l’Union Européenne, d’un commun accord, a décidé de mettre en place un texte législatif qui a pour objectif de protéger les données des citoyens et des consommateurs.
Il vise :
- leur encadrement ;
- leur stockage ;
- leur utilisation ;
- leur sécurisation.
Le Parlement et le Conseil européen ont décidé de protéger le traitement des données personnelles des personnes physiques et leur libre circulation. Le RGPD remplace, de fait, les législations antérieures des 28 pays membres et impose de nouvelles obligations et des clauses contractuelles très détaillées notamment pour la sous-traitance des contrats informatiques et des éditions de logiciels, comme le cryptage des données, dès la conception des produits.
Pourquoi le RGPD a-t-il été mis en place ?
Avec les évolutions technologiques au sein de nos sociétés, le développement du commerce en ligne, l’expansion des réseaux sociaux, il devenait nécessaire, voire indispensable d’encadrer strictement l’utilisation et l’exploitation des données personnelles récoltées.
Mais qu’est-ce qu’une donnée personnelle ?
Au sens large, une donnée personnelle est une information rattachée à une « personne physique identifiée ou identifiable », par exemple :
- un nom ;
- un prénom ;
- un numéro de téléphone ;
- une adresse mail ;
- un marqueur social ou culturel ;
- une image ;
- un extrait de voix, etc.
Il peut donc s’agir de données directes ou indirectes qui rendent possible l’identification immédiate d’un individu ou grâce à des informations croisées. Pour la France, le RGPD vient compléter la loi Informatique et Libertés, mise en place le 6 janvier 1978, et en élargir le champ à tous les résidents européens. Par conséquent, le Règlement Général de la Protection des Données harmonise les règles et propose un cadre juridique unique aux organismes privés comme publics de l’UE, leur permettant de croître tout en gagnant la confiance des consommateurs.
Qu’entend-on par traitement des données personnelles ?
C’est une opération relative à des données à caractère personnel, peu importe le procédé employé, comme :
- la collecte ;
- l’extraction ;
- l’enregistrement ;
- la conservation ;
- l’adaptation ;
- la modification ;
- la consultation ;
- la communication ;
- la transmission ;
- la diffusion ;
- la mise à disposition.
Ce traitement peut être informatique, mais pas seulement. Les fichiers papier sont aussi concernés et doivent être protégés.
Tout traitement doit avoir un objectif clairement défini. La collecte des informations personnelles ne peut pas se faire dans l’attente d’une potentielle utilisation future. Elle doit être assignée à un but immédiat et vérifiable :
- La tenue d’un registre des fournisseurs et de sous-traitants.
- La gestion des bulletins de paie.
- La conduite d’un fichier de prospects grâce à un questionnaire, etc.
En revanche, si les coordonnées sont celles d’une entreprise, avec le numéro du standard ou une adresse mail générique, le traitement des données personnelles ne s’applique pas, car une société est une personne morale.
Qui est concerné par le RGPD ?
C’est très simple. Il s’adresse à toute organisation publique ou privée qui collecte des données dans le cadre de son activité ou pour le compte d’un tiers, peu importe le pays d’implantation, son activité, son C.A. ou sa taille. Par conséquent, les sociétés, les associations, les entrepreneurs, y compris les sous-traitants, établis sur le territoire de l’UE ou qui ciblent directement les résidents européens.
Exemple :
- Une société française établie sur le territoire français qui exporte du matériel en Suisse.
- Une entreprise, dont le siège social est au Canada qui livre sa production en Belgique.
Le spectre a été pensé pour être très large pour une protection optimale.
Comment se mettre en conformité avec le RGPD ?
Avant toute chose, ce qu’il faut comprendre, c’est que le Règlement Général sur la Protection des Données implique un devoir d’information auprès des utilisateurs. Il est donc obligatoire de prendre les mesures qui s’imposent pour être en règle et garantir une protection de la vie privée et utilisation respectueuse de leurs données personnelles.
Voici les règles à suivre :
- S’interroger sur la pertinence des informations récoltées. Ai-je le droit de demander cette donnée ? Est-ce nécessaire à mon activité ? Ai-je reçu un consentement éclairé et explicite ?
- La mise en place d’une transparence totale sur l’utilisation des données. La confiance est une condition indispensable.
- Répondre dans les meilleurs délais aux demandes utilisateurs, sur le droit de consultation, de transmission, de rectification et de suppression définitive de leurs données personnelles.
- Contrôler les données collectées, car leur utilisation doit faire l’objet d’un suivi.
- Identifier les risques et prendre les mesures de sécurité adaptées, tout le long du processus de traitement. Notamment lors de la collecte et le stockage d’informations dites sensibles, comme l’orientation politique, sexuelle ou religieuse, et qui porterait un préjudice extrêmement important si elles étaient diffusées sans consentement préalable. La sécurité doit être totale.
- Informer la CNIL dès le constat d’une fuite de données.
En tant que chef d’entreprise ou indépendant, il vous incombe de tenir un registre qui doit clairement identifier :
- Les données traitées et leurs catégories.
- La durée de conservation.
- La sécurité mise en place.
- La destination des informations.
- La communication qui en sera faite.
- Les parties prenantes dans leur intégralité.
Quelles sanctions cas de non-respect du RGPD ?
En cas de plainte ou de contrôle, c’est la CNIL (Commission Nationale de l’Informatique et des Libertés) qui est saisie. Elle a autorité pour intervenir et sanctionner en cas de manquement avéré aux dispositions du RGPD.
Son intervention est graduelle et s’adapte en fonction de la gravité des violations constatées.
- Un rappel à l’ordre.
- Une astreinte de mise en conformité.
- Une limite de traitement des données, temporaire ou définitif.
- Une suspension des mouvements de données personnelles.
- Un ordre, voire une astreinte, de satisfaction aux demandes d’exercice des droits des personnes concernées.
- Une amende administrative sur le chiffre d’affaires : 2 % du C.A. mondial ou 10 millions d’euros, 4 % du CA.. mondial ou 20 millions d’euros en cas de refus d’obtempérer ou défaut de consentement. Sans compter que ces sanctions peuvent être rendues publiques.
Notre époque est ultra connectée. Nous laissons nos données partout via nos téléphones, notre navigation sur les sites web, etc. La protection, la gestion et le traitement de nos informations personnelles sont un enjeu majeur pour les entreprises, mais aussi pour nos vies individuelles. Ne pas en prendre conscience ni en tenir compte est une faute professionnelle qui peut coûter très cher. Il est donc primordial de se saisir de cette question dès la mise en place d’une collecte d’information que ce soit au travers de votre site internet, de questionnaires satisfaction ou du choix de vos sous-traitants. Si vous manquez de temps, faites-vous accompagner sur cette partie juridique, pour tout le reste de votre administratif, découvrez mes services, et prenons rendez-vous.