Etes-vous en conformité avec le règlement général sur la protection des données (RGPD) ?

Etes-vous en conformité avec le règlement général sur la protection des données (RGPD) ?

CGP, banquiers, assureurs, agents immobiliers… vous qui avez des contacts ou des rendez-vous avec des personnes physiques, le RGPD vous concerne aussi !

Qu’est-ce que le RGPD ?

Le Règlement général sur la protection des données (RGPD, ou GDPR en anglais) a été adopté le 14 avril 2016 et entre en vigueur le 25 mai 2018 ; il constitue le nouveau cadre législatif européen sur les données à caractère personnel que les entreprises utilisent couramment dans leurs activités. Il remplace la dernière directive sur le sujet qui, remontant à 1995, était largement devenue obsolète dans le cadre de la révolution numérique.

La protection des « données personnelles »

On désigne par donnée à caractère personnel toute donnée permettant d’identifier, directement ou indirectement, une personne physique, que ce soit, entre autres, un numéro de téléphone, un enregistrement vocal, une adresse IP ou tout simplement une photo.

Le RGPD interdit leur collecte sans consentement écrit, clair et explicite. Il n’impose pas de limite de date précise pour les conserver, mais exige que les entreprises puissent justifier le délai de conservation des données de clients inactifs (exemple : adresses emails, adresses postales, CV…)

Qui est concerné ?

Le RGPD s’applique à toutes les entreprises qui traitent des données de résidents européens, qu’elles soient établies dans l’Union européenne ou non, ainsi qu’à tous les organismes situés dans l’Union européenne, que ces derniers aient un but lucratif ou non, qu’ils soient européens ou non. Les GAFA (Google, Amazon, Facebook, Apple) sont donc directement concernés, mais également les sous-traitants ainsi que les TPE-PME, qui disposent toutefois d’allègements comme l’absence d’obligation d’un registre spécifique ou de responsable unique dédié.

Des pratiques plus protectrices pour les internautes

Le RGPD vise avant tout une meilleure protection des internautes. Pour pouvoir utiliser leurs données personnelles, les entreprises doivent dorénavant obtenir leur consentement, étant entendu que celui-ci doit être demandé explicitement et doit être librement donné sous la forme d’une « action positive. »

Il est ainsi interdit de pré-cocher les cases des formulaires, ou de proposer des cases à « cocher si vous ne voulez pas… » Chaque case à cocher doit correspondre à une action positive et une seule, par exemple recevoir la newsletter, bénéficier d’une offre, etc.

Le RGPD établit un certain nombre de droits pour les internautes :

  • Droit à la rectification (pouvoir modifier ses données personnelles)
  • Droit à l’oubli (pouvoir faire effacer ses données)
  • Droit à la portabilité (faire transférer ses données, comme pour changer de réseau social ou de fournisseur d’accès internet)
  • Droit d’opposition (pouvoir empêcher le stockage de ses données personnelles, par un lien de désinscription)
  • Droit d’accès (pouvoir être informé de ce qui est stocké – ou piraté par exemple)

De leur côté, les entreprises doivent respecter plusieurs obligations :

  • Obligation de tenir un registre des activités de traitement (sauf pour les entreprises de moins de 250 personnes)
  • Obligation de nommer un « délégué à la protection des données » ou DPO pour Data Protection Officer (ce DPO peut être externe et ce rôle peut être partagé dans les entreprises de moins de 250 personnes)
  • Obligation d’assurer la protection des données, notamment par cryptage et utilisation de pseudonymes
  • Obligation de notifier les failles de sécurité à l’autorité de contrôle et aux individus concernés
  • Obligation de mettre en place des mécanismes d’encadrement de transfert des données hors UE

La mise en conformité passe par 6 étapes recommandées par la CNIL :

  • La désignation du délégué à la protection des données
  • La cartographie des traitements de données à caractère personnel
  • La priorisation des actions à mener
  • La gestion des risques
  • L’organisation des processus en interne
  • La documentation de la conformité

Des sanctions financières allant jusqu’à 4% du chiffre d’affaires annuel mondial sont prévues pour les contrevenants !

Pour en savoir plus :
https://www.cnil.fr/fr/informatique-et-libertes-suis-je-concerne
https://www.cnil.fr/se-preparer-au-reglement-europeen
http://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:52018DC0043&utm

Les Editions Arnaud Franel

 

 

(Article vu 799 fois, 3 visites aujourd'hui)

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Livres de l'auteur

Loading RSS Feed
Tous ses livres