<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=974333225999825&amp;ev=PageView&amp;noscript=1">

Comment rendre son entreprise conforme au RGPD ?

margaux avatar

Anaïs Martin

31 mai 2018

custom-Custom_Size___Capture d’écran 2018-05-18 à 09.33.12

Le Règlement Général sur la Protection des Données ou General Data Protection Regulation est un sujet brûlant de l’actualité de cette année 2018. Mais de quoi s’agit-il concrètement ?

 

Cet article reprend ce qui a été dit par Adrien Basdevant, Avocat Associé chez Lysias Partners et auteur du livre "L’Empire des données", lors du webinar organisé en avril dernier en collaboration avec PayFit. 

 

À partir du vendredi 25 mai 2018 s’appliquera la nouvelle réglementation européenne sur la protection des données personnelles. Cette réglementation viendra s’imposer comme la réglementation de référence en réponse à la transformation technologique et l’évolution digitale de nos sociétés. Repenser le traitement et l’utilisation des données des individus permet d’une part, de respecter le droit de mise en sécurité d’informations sensibles et d’autre part un ajustement aux réalités et aux pratiques numériques actuelles. Mais son application à l’échelle européenne permet également une unification de la réglementation générale. En effet, la réglementation s’appliquera aux 28 pays membres de l’Union, ainsi qu’aux pays collectant et utilisant les données de résidents européens.

 

Relancer les dés au sein d’une structure économique aussi complexe permettra aux individus de bénéficier de plus de droits (le droit à l’oubli, le droit de rectification, le droit à la portabilité etc) et d’anticiper d’éventuels abus liés à la collecte et à la monétisation des données.  En effet, chaque mouvement sur le net, chaque action réalisée en ligne est une source d’information dont la collecte possède une importance capitale pour les entreprises.

 

 

Quels sont les objectifs d’un tel règlement ? 🎯

 

Remettre au centre de la relation client la notion de consentement est la finalité principale attachée à la mise en place de ces nouvelles règles. En remplaçant l’ancienne directive de 1995 concernant la protection des données personnelles, la nouvelle directive va conduire les entreprises à mettre en place des règles afin de garantir un traitement et une collecte des données consentis. Toute modification, conservation ou suppression d’information devra être assurée. Accompagnement et prévoyance sont les maîtres mots et principes qui permettront aux entreprises d’appréhender le RGPD de façon simple, et d’être conforme.

 

 

Contrôle de la circulation des informations numériques, sanctions et recours 🧐

 

L’autorité chargée du contrôle du numérique, la Commission Nationale de l'Informatique et des Libertés (CNIL) est en charge de superviser l’exploitation des données. Mais le règlement prévoit également un comité européen de la protection des données chargé de veiller et assurer le respect dudit règlement.

 

Dans le cas de figure où un individu estime que ses données ont été utilisées ou collectées sans respecter les conditions posées par le RGPD, plusieurs actions peuvent être menées. Il peut par exemple déposer un recours auprès de la CNIL, engager une action collective afin d’obtenir réparation. Si la Commission reste bienveillante et a pour mission d’accompagner les entreprises dans cette transition,

toutes infractions ou manquement conduira les entreprises à payer une amende qui pourra aller de 2 à 4% du chiffre d’affaire annuel.

 

 

Que sont les “données personnelles” ? 🤷🏻‍♀️

 

On parle de données personnelles lorsqu’on dispose d’informations permettant de déterminer l’identité d’un individu comme le nom, le prénom, l’adresse postale ou encore l’adresse mail professionnelle.

 

L’utilisation de ces données s’appuie sur plusieurs principes comme le consentement, la transparence, ou la responsabilité. Chaque individu doit en effet donner son accord au traitement de ses données et cet accord peut être retiré à n’importe quel moment. Les entreprises et les organisations doivent également fournir des informations concernant le traitement des données. Aussi, les entreprises auront pour obligations de prouver le respect du règlement : on parle “d’accountability”. Plusieurs mesures doivent donc être mises en place afin de démontrer la protection effective des données. Une des mesure encouragée par le RGPD est la pseudonymisation des données qui consiste à masquer partiellement l’identité d’une personne de façon à ce qu'on ne puisse pas attribuer les données à une personne physique sans avoir d'autres informations qu'un pseudonyme.

custom-Custom_Size___markus-petritz-135033-unsplash

 

 

Obligations et mise en place 📋

 

Désormais, les droits de chacun seront renforcés comme le droit à l’oubli qui garantit à chaque utilisateur en faisant la demande, la suppression de ses données ou le droit de portabilité permettant la récupération d’informations afin de les réutiliser et de les transférer à d’autres organisations.

 

Mais alors comment être conforme pour le 25 mai ? Lorsque les données personnelles sont collectées directement auprès du visiteur du site, tous les organismes ont plusieurs obligations et se doivent de mentionner :

 

• les destinataires et les exploitants des données,

• le pourquoi de l’utilisation des données,

• les coordonnées du délégué à la protection des données,

• la mention information obligatoire ou facultative de certaines réponses à des questions


 

En ce qui concerne des pratiques spécifiques telles que le mailing, il faut respecter des règles spécifiques.

 

En effet, le système d’inscription en double opt-in par exemple sera désormais de rigueur et ce même si les adresses mail sont en votre possession avant la mise en place du règlement. Il sera également nécessaire d’informer les destinataires de l’objet de l’utilisation de leurs données.

 

En interne, la mise en place du RGPD nécessite aussi une articulation et organisation des différents acteurs. Chacune des équipes RH, marketing, informatique est impliquée et doit donner sa vision des choses mais également le volume d’informations utilisées, le type de données traitées, leur exploitation etc. C’est par la nomination d’un coordinateur, le data protection officer ou délégué à la protection des données personnelles que toutes les informations pourront être réunies, classées et protégées. Pour cela, la réalisation d’un inventaire peut être mis en place et permet de réaliser un état des lieux clair. Cet inventaire pourra également être utilisé afin de prouver le bon respect des règles par les entreprises.

 

Missionné pour participer à la mise en conformité au RGPD, le délégué à la protection des données personnelles doit s’assurer du bon respect des règles par l’entreprise ainsi que ses sous-traitants. d’évaluer le degré de risque pour les droits des individus. En cas de faille de sécurité, il lui faudra notifier l’incident à la CNIL dans les 72h à compter de la découverte de la faille (fuite ou vol de données). 

PayFit et le RGPD