Sélectionner une page

Qu’est-ce que le RGPD ?

Vous aussi vous avez entendu ce terme partout il y a quelques mois ? Mais concrètement qu’est-ce que c’est ? Est-ce que ce terme va bouleverser nos vies ?
Le RGPD, Règlement Général sur la Protection des Données, est entré en vigueur le 25 mai 2018. Il permet d’encadrer le traitement et la circulation des données à caractère personnel sur le territoire européen. L’objectif est de responsabiliser les organismes traitant des données et de renforcer les droits des personnes confiant ces données.
Remplaçant une directive datant de 1995, le RGPD est un texte d’application directe. Il s’agit, en théorie, de la meilleure option pour garantir qu’une seule loi s’applique sur l’ensemble des pays européens.

Ce texte s’applique à tous les Etats membres de l’Union Européenne, mais ils ont tout de même 56 marges de manœuvre pour l’adapter comme ils le souhaitent à leur climat national. Par exemple, l’âge de consentement. A quel âge un mineur est considéré comme tel face à l’autorisation de l’exploitation de leurs données personnelles par les plateformes en ligne et autres responsables de traitement ? L’âge minimum est de 13ans. La France a décidé de le fixer à 15 ans.

Un changement avec un grand C pour les particuliers ?

Et oui, pour les particuliers, qu’est-ce que ça change ? Et non, ce terme ne va pas bouleverser la vie de tous.

En France, de nombreuses dispositions existaient déjà dans la « loi informatique et Libertés de 1978 » :

       Le droit à l’information sur les traitements des données ;

       Le droit de rectification ;

       Le droit à l’effacement…

Mais le RGPD prévoit de nouveaux droits :

       Le droit à la portabilité : en pratique, ce droit vous permet de récupérer vos données personnelles qui ont été traitées par un premier prestataire pour le transmettre à un concurrent par exemple.

       Le droit à la limitation du traitement : il complète le droit à la rectification et à l’opposition. Lorsque vous contestez l’exactitude des données utilisées par l’organisme, lors de la vérification ou de l’examen de votre demande, vous pouvez demander à ce que l’utilisation de vos données soit gelée.

       Le droit à l’information s’agrandit : d’après l’article 7, il doit être : « aussi simple de retirer que de donner son consentement » à l’inscription d’une newsletter par exemple.

Peut-être que vous n’allez pas ressentir de grands changements, à part de nombreux mails sur votre messagerie vous demandant d’accepter une nouvelle fois les CGV ou CGU. Mais maintenant, votre consentement est important, utilisez votre droit de donner votre accord ou non.

Et pour les entreprises, qu’est-ce qui change ?

Pour les entreprises, on y trouve plusieurs changements.

La fin des déclarations auprès de la CNIL.

Le RGPD supprime ces déclarations de fichiers qu’il fallait effectuer auprès de la CNIL. Des formalités seront tout de même toujours présentées au préalable, notamment la demande d’autorisation pour certains traitements de données de santé.

A la place, les responsables devront mettre en œuvre des mesures, techniques et organisationnelles, afin d’assurer que le traitement des données est conforme au RGPD.

Le consentement préalable

Le RGPD renforce le consentement préalable de la personne, et précise qu’il faut dorénavant démontrer l’utilité de chaque information que les entreprises récoltent sur chaque individu.

Avant de demander la date d’anniversaire de vos clients, demandez-vous à quoi elle va vous servir. Si c’est pour lui offrir un chèque cadeau chaque année, alors continuez, si vous ne vous en servez pas, ne le demandez pas.

Tenir un registre

La personne nommée Délégué à la Protection des Données (DPO) doit faire en sorte qu’un registre répertoriant le traitement de toutes les données récoltées par l’entreprise soit bien tenu. Ce registre est obligatoire quand le volume d’une entreprise dépasse les 250 personnes.

Le CNIL propose un modèle de ce registre sur son site internet :

https://www.cnil.fr/fr/RGDP-le-registre-des-activites-de-traitement

Pour un site vitrine, il faut prévoir :

  • Des « mentions CNIL » en bas du formulaire contact (des modèles sont proposés sur cnil.fr) ;
  • Un moyen de contact pour que les personnes puissent exercer leurs droits par voie électronique ;
  • Des mentions légales identifiant l’éditeur du site.

à https://www.service-public.fr/professionnels-entreprises/vosdroits/F31228

Votre site dépose des cookies ou des traceurs publicitaires ? Alors selon l’objet du traceur, il faut informer l’internaute de son existence ainsi qu’obtenir son consentement.

Vous faites de la vente en ligne ? Il faut :

  • Une surveillance régulière de la sécurité du site ;
  • Justifier les données collectées par le service rendu au client ;
  • S’interroger sur l’utilité des données demandées ;
  • Intégrer au parcours de vente l’information et le consentement de vos clients à l’utilisation de leurs données (les informer clairement et leur donner la possibilité d’exprimer leurs préférences) ;
  • Insérer une page accessible et compréhensible par tous avec les explications de ce que vous faites des données récoltées.

Comment sécuriser les données en ligne ?

  • L’ensemble du parcours de vente doit être en https ;
  • Vous devez imposer à vos clients un mot de passe complexe à la création de leur compte ;
  • Ne transmettez pas de données personnelles par e-mail ;
  • Ne conservez pas les coordonnées bancaires de vos clients ;
  • Sécurisez la transaction bancaire.

Si vous ne suivez pas ces nouvelles règles, de nouvelles sanctions sont aussi dictées par le RGPD. En cas de manquement grave, une amende peut aller jusqu’à 20M€ ou bien 4% du chiffre d’affaires réalisé. Néanmoins, la CNIL devrait être clémente en ces premiers mois d’application.

Après toutes ces listes à puces vous dictant ce que vous devez faire pour être en règle, votre mal de tête est une réaction normale, ne vous inquiétez pas.

Si vous avez besoin d’aide ou d’autres questions sur le RGPD, contactez-nous !