Menu
Blog Web & Mobile

RGPD (Règlement Général sur la Protection des Données) – Êtes-vous prêt ?

 

 

Qu’est-ce que le RGPD ?

Le RGPD ou Règlement Général sur la Protection des Données est un nouveau règlement européen qui entre en vigueur le 25 mai prochain dans tous les États de la communauté européenne. Le RGPD aura des incidences importantes pour de très nombreuses entreprises et institutions, y compris les PME et les TPE. En tant que règlement, ce dernier n’a pas besoin d’être transposé dans le droit national pour être applicable.

 

La collecte et le traitement des données personnelles par les entreprises et les administrations implique déjà des obligations et des droits pour les personnes dont les données sont collectées (ex. Déclaration CNIL, Devoir d’information, droit de rétractation). L’application de ces règles par les entreprises est pourtant encore aujourd’hui perfectible. « Les usages digitaux » rendent la protection de la vie privée encore plus sensible. 

 

Dans le cadre du RGPD, la logique de déclaration obligatoire à la CNIL issue de la loi informatique et libertés, va être abandonnée au profit des notions d’ « accountability » (responsabilisation) et de  « Privacy by Design » et de la tenue systématique d’un registre de traitements des données qui fait que l’entreprise doit garantir, à tout moment, que les process en place sont conformes, sécurisés et garantissent la confidentialité des données.

 

Les entreprises auront donc l’obligation de recenser et consigner tous les traitements de données personnelles au sein de l’entreprise (collecte, stockage, utilisation, partage ou destruction). Sont qualifiées données à caractère personnel toutes celles qui se rapportent à une personne physique identifiée ou identifiable.

 

Ces règles s’appliqueront également aux sous-traitants des entreprises.

 

 

Quels sont les objectifs du RGPD vis-à-vis des personnes physiques ?

Les principaux objectifs visés par ce nouveau règlement sont d’une part, de renforcer le droit des personnes, de mieux protéger la vie privée des personnes physiques en gardant la maîtrise des informations à caractère personnel collectées par les entreprises et d’autre part, de responsabiliser les entreprises afin qu’elles assurent la protection de ces données. 

 

Le RGPD vise également à harmoniser la réglementation européenne et rendre aussi plus cohérente l’action des autorités de contrôle.

 

Selon la dernière étude BVA d’octobre 2017, seuls 25% des Français estiment que la confidentialité de leurs données personnelles est correctement assurée sur internet. Plus globalement, 70% sont inquiets concernant la sécurité de ces données.

 

Le RGPD se concrétise pas de nouveaux droits et la réaffirmation du consentement. Citons parmi ces droits : 

 

  • Consentement : les utilisateurs doivent systématiquement pouvoir donner leur accord en ce qui concerne la collecte de leurs données personnelles ou pouvoir la refuser ;
  • Information : ils doivent également être informés de façon claire et intelligible de l’utilisation qui sera faite de leurs données et l’entreprise devra être capable de prouver son consentement ;
  • Limitation durée  du traitement : vous devez communiquer pourquoi vous traitez les données et combien de temps elles seront stockées ;
  • Droit à la portabilité et le droit à l’oubli : il permettra aux personnes physiques si elles le souhaitent de disposer de l’ensemble des données collectées les concernant ou de demander leur destruction ;
  • L’accord d’un représentant légal sera nécessaire pour la collecte de données des mineurs de moins de 16 ans ;
  • Respect du Principe de finalité : vos traitements doivent avoir un but précisément défini ;
  • Une notification en cas de violation de vie privée sera désormais également obligatoire (Notification à la CNIL dans un délai maximum de 72 heures) ;
  • Assurer la sécurité renforcée des données sensibles (ex. santé, orientation sexuelle, religion, race et opinions politiques).

 

 

Qu’entend-on par données à caractère personnel ?

Les données personnelles sont l’ensemble des informations collectées sur une personne physique qui permettent d’identifier ou de la rendre identifiable comme par exemples : 

 

 

Seule la collecte des données relative aux personnes est concernée. Il peut s’agir toutefois de particuliers, de commerçants ou d’artisans exerçant en nom propre, ou encore de professions libérales. Et il importe peu, par exemple, qu’une adresse soit privée ou professionnelle. Dès lors qu’il s’agit de l’adresse d’une personne physique, elle est protégée. Les informations collectées relatives aux personnes morales (sociétés, associations, etc.) ne sont pas concernées par le RGPD.

 

Si ces données sont collectées et conservées, quel que soit le moyen et le statut des personnes concernées (ex. Clients, prospects, Salariés, …) le règlement européen s’applique.

 

 

Qui est concerné par le RGPD ? 

Toutes les sociétés, organismes, institutions qui collectent ou traitent des données à caractère personnel de citoyens ou résident européens sont concernées. Votre entreprise dispose très probablement d’une base de données client (CRM), utilise des leviers d’acquisition marketing digitaux ou dispose d’un site internet. Il est donc probable que votre entreprise soit soumise à ces obligations. Les entreprises devront donc auditer et modifier l’ensemble des mentions « Informatiques et Libertés » contenues dans les formulaires et les mentions légales de leur site web ou leurs conditions contractuelles par exemple.  Il vous faudra donc entre autres choses intervenir avant le 25 mai sur votre site internet, vos applications mobiles et vos outils marketing afin de vous mettre en conformité. Nous sommes à votre disposition pour envisager ces interventions sur vos outils digitaux.

 

Même si l’objectif est de responsabiliser les entreprises, de lourdes sanctions financières sont prévues en cas de non-respect du dispositif, les entreprises s’exposeront à des amendes d’un montant allant de 2 à 4% du C.A. mondial de l’entreprise et pouvant représenter jusqu’à 20 millions d’euros d’amende pour les infractions les plus graves !

 

 

RGPD : quels sont vos droits et obligations

De manière synthétique vos principales obligations sont : 

 

 

 

Le RGPD s’imposera à toute entreprise européenne à compter du 25 mai prochain 

Le RGPD s’imposera à toute entreprise européenne à compter du 25 mai prochain. Le nouveau règlement va accentuer la responsabilité des entreprises. Êtes-vous prêt ? Quelle est la marche à suivre pour se mettre en conformité ? La CNIL décrit sur son site interne les 6 grandes étapes de mise en application du RGPD (Règlement européen sur la protection des données : ce qui change pour les professionnels). En synthèse ces 6 étapes de mise en conformité sont : 

 

 

1 -Désigner un pilote

La désignation d’un délégué à la protection des données est obligatoire en 2018 si :

 

 

2 – Cartographier vos traitements de données personnelles 

 

Pour mesurer concrètement l’impact du règlement européen sur la protection des données que vous traitez, commencez par recenser de façon précise vos traitements de données personnelles et élaborez un registre des traitements (documentation interne complète sur leurs traitements de données personnelles et s’assurer que ces traitements respectent bien les nouvelles obligations légales : types de traitements et de données personnelles, objectifs de la collecte et du traitement, sous-traitants … ). 

 

3 – Prioriser les actions à mener 

 

Après avoir identifié les traitements de données personnelles mis en œuvre au sein de votre entreprise, il vous faudra les prioriser et définir les actions à mener.  

 

Quelques points d’attention :

 

 

4 – Gérer les risques 

 

Si des traitements de données personnelles sont susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes concernées, vous devrez mener, pour chacun de ces traitements, une analyse d’impact sur la protection des données (PIA).

 

 

5 – Organiser les processus internes

 

Pour assurer la protection des données vous devrez définir et mettre en place des procédures internes tout au long du cycle de collecte et de traitement des données (ex.  faille de sécurité, gestion des demandes de rectification ou d’accès, modification des données collectées, changement de prestataire). 

 

6 – Documenter la conformité 

 

Afin d’être en mesure de prouver votre conformité au RGPD, il vous faudra constituer et tenir à jour une documentation sur l’ensemble des processus de collecte et de traitement réalisés (documentation, mentions, procédures mise en place, y compris de contrats de sous-traitance). 

 

 

RGPD : Transformer une contrainte en opportunité 

Le Règlement Général sur la Protection des Données peut paraître contraignant en apportant son lot d’obligations et il l’est probablement. Il peut constituer toutefois une opportunité et un enjeu stratégique pour les entreprises :
 
  • Son application peut contribuer à renforcer le capital confiance et à la réputation de la marque vis-à-vis de ses clients, prospects, partenaires, salariés ;
  • Elle est  l’occasion de renforcer la sécurité des données de l’entreprise qui constitue aujourd’hui un véritable patrimoine immatériel ;
  • Elle peut permettre aux entreprises de rationaliser leur système d’information et d’optimiser son efficacité. 
 
 

Quels sont les impacts opérationnels du RGPD sur vos supports de communication digitaux  ?

Le RGPD a un impact opérationnel immédiat sur vos outils de marketing et de communication (site web, applications mobiles, chatbots, CRM, gestion de vos emailings, réseaux sociaux,…). Il vous faudra par exemple : 

 

 

Notre agence web basée à Nantes est à votre écoute pour vous accompagner dans l’application du RGPD sur votre site internet ou sur votre application mobile. La CNIL et BPI France ont également mis en ligne un Guide pratique de sensibilisation au RGPD pour les Petites et moyennes entreprises.

 

 

RENCONTRONS-NOUS ! 

 

 

 

 

 

 

Démarrons votre projet