Depuis le 25 mai 2018, le RGPD est entré en vigueur dans les pays membres de l’UE, remplaçant la loi Informatique et Libertés de 1978 et la directive du 24 octobre 1995. Le RGPD, Règlement Général de la Protection des Données personnelles, est une nouvelle réglementation européenne qui renforce et protège les données personnelles de toute personne, et qui met en place de nouvelles obligations pour ceux qui s’occupent de traiter ces données…

Tout le monde est concerné par cette nouvelle réglementation. Que ce soit :

  • Les citoyens européens qui souhaitent protéger et avoir un contrôle sur leurs informations personnelles ;
  • Ou toute entreprise, association, administration, organisation, plateforme qui collectent et stockent ces données permettant d’identifier une personne (nom, adresse, localisation, adresse IP…).

La collecte des données est maintenant réglementée. En effet, le RGPD impose un certain nombre d’obligations à respecter pour les responsables de traitement de ces informations. Les voici en 10 points.

Registre des données

Mettre en place et tenir un registre de traitements des données, qui substitue la déclaration à la CNIL. C’est maintenant l’entreprise qui est responsable et garante du respect de la vie privée des personnes qui donnent leurs informations, c’est donc à vous de démontrer qu’elle est en conformité avec le RGPD. En cas de violation ou défaillance dans le traitement de ces données, vous serez dans l’obligation d’en avertir la CNIL.

Délégué à la protection des données

Il est obligatoire de nommer un délégué à la protection des données (DPO ou DPD) pour assurer la mise en place et le respect du RGPD, et d’en communiquer le contact, par mail par exemple, à toutes les personnes faisant partie du fichier. Le délai de conformité pour les entreprises est fixé à 2 ans avant que le contrôle de la bonne mise en place du RGPD ne commence.

Informer en toute transparence

Tout consommateur / client devra être informé de façon claire, précise, transparente et accessible du traitement de ses données personnelles. En effet, il est en droit de savoir pour quelle(s) raison(s) sont utilisées ses informations, qui y a accès et combien de temps elles sont conservées.

Il doit également être au courant de ses droits concernant ses données : droit d’accès, de rectification, de désabonnement, de minimisation, d’opposition, de portabilité ou encore de retrait de consentement.

Si vous avez un fichier client dans votre entreprise, procédez à un e-mailing en ce sens et dès maintenant pour leur en informer.

Droit d’oubli et d’effacement

Chaque personne concernée par le traitement de ses données peut demander à ce que ses informations soient effacées selon la liste des motifs présente dans l’article 17 du RGPD. Le responsable concerné du traitement de ces données devra alors les effacer dans les meilleurs délais.

Consentement

Tout traitement de données doit faire l’objet d’un consentement et d’une autorisation explicite de la part du client ou consommateur, dont il faut garder la preuve. Les demandes d’information ne peuvent être faites à des personnes de moins de 16 ans, il faut s’adresser à un représentant légal dans ce cas.

Sécurité et protection des données

Mettre en place des dispositifs de sécurité conséquents et efficaces pour la protection des données. Dès lors qu’il y a faille de sécurité ou violation de données, et qui peut entraîner un risque élevé sur la vie privée de l’utilisateur, il est primordial d’en avertir directement la CNIL, les autorités et personnes concernées.

Une collecte de données proportionnée et minimisée

Seules les données nécessaires au but recherché doivent être collectées. De plus, elles doivent être pertinentes, en lien direct avec l’usage qui en est fait. Ne demandez pas d’informations superflues ! C’est plus long pour le consommateur qui peut être rapidement découragé par votre formulaire, c’est inutile et c’est désormais condamnable !

Temps de conservation

Le délai de conservation des données doit être limité dans le temps. De plus, tout contact inactif depuis 3 ans doit être supprimé de la base de données.

Territorialité

Les données collectées doivent impérativement rester en Europe. Ou si ce n’est pas le cas, elles doivent faire l’objet de précautions particulières (garanties, autorisations).

Sanctions

Avant, le non-respect de la loi Informatique et Libertés pouvait coûter jusqu’à 150 000 euros. Désormais, avec la mise en place du RGPD, l’amende pourra s’élever jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires de l’entreprise concernée.

Malgré toutes ces contraintes et restrictions, le RGPD reste une occasion pour les entreprises de renforcer la sécurité des informations qu’elles stockent, et de limiter les pertes de données ou risques de piratage. De plus, les clients seront plus rassurés et plus confiants vis-à-vis de votre entreprise, ils donneront donc plus facilement leurs informations personnelles, ce qui vous permettra de faciliter vos échanges avec eux, et d’ainsi mieux comprendre leurs besoins.

Le temps du marketing de masse, non ciblé, qu’il soit par email ou par courrier adressé par exemple, va prendre du plomb dans l’aile. Et c’est sûrement une bonne nouvelle pour la publicité qui devra alors être plus adaptée et moins invasive. Les marques seront contraintes d’être plus précautionneuses de la relation qu’elles entretiennent avec leurs clients.

A propos de l’auteur

Thibault LALOUETTE

Dirigeant et fondateur de Kamelecom
Agence de conseil en communication et publicité
Lille (59)

www.kamelecom.fr