Depuis le 25 mai 2018, le RGPD est entré en vigueur dans les pays membres de l’UE, remplaçant la loi Informatique et Libertés de 1978 et la directive du 24 octobre 1995. Le RGPD, Règlement Général de la Protection des Données personnelles, est une nouvelle réglementation européenne qui renforce et protège les données personnelles de toute personne, et qui met en place de nouvelles obligations pour ceux qui s’occupent de traiter ces données…
Tout le monde est concerné par cette nouvelle réglementation. Que ce soit :
- Les citoyens européens qui souhaitent protéger et avoir un contrôle sur leurs informations personnelles ;
- Ou toute entreprise, association, administration, organisation, plateforme qui collectent et stockent ces données permettant d’identifier une personne (nom, adresse, localisation, adresse IP…).
La collecte des données est maintenant réglementée. En effet, le RGPD impose un certain nombre d’obligations à respecter pour les responsables de traitement de ces informations. Les voici en 10 points.
Registre des données
Mettre en place et tenir un registre de traitements des données, qui substitue la déclaration à la CNIL. C’est maintenant l’entreprise qui est responsable et garante du respect de la vie privée des personnes qui donnent leurs informations, c’est donc à vous de démontrer qu’elle est en conformité avec le RGPD. En cas de violation ou défaillance dans le traitement de ces données, vous serez dans l’obligation d’en avertir la CNIL.
Délégué à la protection des données
Il est obligatoire de nommer un délégué à la protection des données (DPO ou DPD) pour assurer la mise en place et le respect du RGPD, et d’en communiquer le contact, par mail par exemple, à toutes les personnes faisant partie du fichier. Le délai de conformité pour les entreprises est fixé à 2 ans avant que le contrôle de la bonne mise en place du RGPD ne commence.
Informer en toute transparence
Tout consommateur / client devra être informé de façon claire, précise, transparente et accessible du traitement de ses données personnelles. En effet, il est en droit de savoir pour quelle(s) raison(s) sont utilisées ses informations, qui y a accès et combien de temps elles sont conservées.
Il doit également être au courant de ses droits concernant ses données : droit d’accès, de rectification, de désabonnement, de minimisation, d’opposition, de portabilité ou encore de retrait de consentement.
Si vous avez un fichier client dans votre entreprise, procédez à un e-mailing en ce sens et dès maintenant pour leur en informer.
Droit d’oubli et d’effacement
Chaque personne concernée par le traitement de ses données peut demander à ce que ses informations soient effacées selon la liste des motifs présente dans l’article 17 du RGPD. Le responsable concerné du traitement de ces données devra alors les effacer dans les meilleurs délais.
Consentement
Tout traitement de données doit faire l’objet d’un consentement et d’une autorisation explicite de la part du client ou consommateur, dont il faut garder la preuve. Les demandes d’information ne peuvent être faites à des personnes de moins de 16 ans, il faut s’adresser à un représentant légal dans ce cas.
Sécurité et protection des données
Mettre en place des dispositifs de sécurité conséquents et efficaces pour la protection des données. Dès lors qu’il y a faille de sécurité ou violation de données, et qui peut entraîner un risque élevé sur la vie privée de l’utilisateur, il est primordial d’en avertir directement la CNIL, les autorités et personnes concernées.
Une collecte de données proportionnée et minimisée
Seules les données nécessaires au but recherché doivent être collectées. De plus, elles doivent être pertinentes, en lien direct avec l’usage qui en est fait. Ne demandez pas d’informations superflues ! C’est plus long pour le consommateur qui peut être rapidement découragé par votre formulaire, c’est inutile et c’est désormais condamnable !
Temps de conservation
Le délai de conservation des données doit être limité dans le temps. De plus, tout contact inactif depuis 3 ans doit être supprimé de la base de données.
Territorialité
Les données collectées doivent impérativement rester en Europe. Ou si ce n’est pas le cas, elles doivent faire l’objet de précautions particulières (garanties, autorisations).
Sanctions
Avant, le non-respect de la loi Informatique et Libertés pouvait coûter jusqu’à 150 000 euros. Désormais, avec la mise en place du RGPD, l’amende pourra s’élever jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires de l’entreprise concernée.
Malgré toutes ces contraintes et restrictions, le RGPD reste une occasion pour les entreprises de renforcer la sécurité des informations qu’elles stockent, et de limiter les pertes de données ou risques de piratage. De plus, les clients seront plus rassurés et plus confiants vis-à-vis de votre entreprise, ils donneront donc plus facilement leurs informations personnelles, ce qui vous permettra de faciliter vos échanges avec eux, et d’ainsi mieux comprendre leurs besoins.
Le temps du marketing de masse, non ciblé, qu’il soit par email ou par courrier adressé par exemple, va prendre du plomb dans l’aile. Et c’est sûrement une bonne nouvelle pour la publicité qui devra alors être plus adaptée et moins invasive. Les marques seront contraintes d’être plus précautionneuses de la relation qu’elles entretiennent avec leurs clients.
A propos de l’auteur
Thibault LALOUETTE
Dirigeant et fondateur de Kamelecom
Agence de conseil en communication et publicité
Lille (59)
Non la nomination n’est pas obligatoire dans tous les cas.
La désignation d’un Délégué à la protection des données et obligatoire pour :
Les autorités et organismes publics
Les organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle,
Les organismes dont les activités de base les amènent à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions.
Le cadre de ces obligations laisse de nombreuses organisations dans le flou… notamment : « Les organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle ».
A la lumière des précisions du G29, on comprend que les grands groupes sont concernés par ces obligations mais aussi certaines PME, dans le cas où :
Elles collecteraient des données à caractère personnel ;
Que le traitement de ces données serait régulier et systématique ;
Dans un secteur d’activité particulier (recherche et profilage sur Internet, E-commerce, opérateur réseau télécom, fournisseurs de services de télécommunications, publicité comportementale, géolocalisation, appareils connectés…) ;
A grande échelle (aucun seuil minimal n’a encore été publié par les autorités !)
Et dans le cas où cela serait leur activité principale.
Si votre PME remplit tous ces critères vous êtes donc dans l’obligation de désigner un DPD.
Si vous êtes tourneur fraiseur…