Le Règlement Général de Protection des Données, communément appelé RGPD, est entré en vigueur le 25 mai dernier et il a fait couler beaucoup d'encre. Les internautes ont reçu plusieurs méls pour valider l'inscription à des listes de diffusion ou des CGU pour des sites sur lesquels ils étaient inscrits, des réseaux sociaux, etc.
Depuis, la pression médiatique est quelque peu retombée mais êtes vous sûrs d'avoir fait le nécessaire pour que votre entreprise et votre site Internet soient en conformité ?
Pour vous aider à vous y retrouver, nous avons fait le point sur ce qui change vraiment avec le RGPD !
Le RGPD, qu'est ce que c'est ?
Comme son nom l'indique, le RGPD a pour vocation de protéger les données personnelles de personnes résidant dans l'Union européenne. C'est un règlement, c'est-à-dire qu'il est obligatoire de le respecter.
Mais qu'entend-t-on concrètement par données personnelles ?
Une donnée personnelle est une donnée qui permet l'identification d'un individu. Attention, l'identification peut-être directe (le nom) mais aussi indirecte (une plaque d'immatriculation par exemple, qui permet de remonter jusqu'au propriétaire) ou une adresse IP dans certains cas.
Si vous collectez des données (ne serait-ce que le nom, le mél, le numéro detéléphone...) de vos prospects et de vos clients, vous devez dès à présent respecter le RGPD sous peine de sanction. Sachez aussi que par "traitement de données" on entend les opérations manuelles ou automatisées appliquées aux données, par exemple la collecte, l'enregistrement, l'utilisation, la diffusion...
Les nouveaux droits apportés par le RGPD
Comment se traduit concrètement la protection des données personnelles ? Chaque individu possède des droits liés à ses données personnelles : le RGPD a renforcé des droits existants sachant que la loi Informatique, fichiers et liberté et la loi pour la confiance dans l'économie numérique (LCEN), par exemple, étaient déjà en viguer. Aussi le RGPD en a instauré de nouveaux.
Les droits renforcés par le RGPD :
Tout individu peut demander à connaître les informations qu'une entreprise possède sur lui. Le droit d'accès existait déjà avant le RGPD mais le règlement a sensiblement renforcé ce droit. Désormais un individu peut demander à toute entreprise les informations suivantes : le type de données collectées, la source de collecte de chaque donnée, la durée de stockage de chaque donnée, les garanties prises en cas de transferts des données hors de l'UE.
Toute personne a le droit de s'opposer à ce que ses données personnelles fasse l'objet d'un traitement. La CNIL recommande que ce droit d'opposition soit exerçable par le biais d'une case à cocher.
Tout individu dispose du droit de faire rectifier ses données si celles-ci sont inexactes ou incomplètes.
Le RGPD renforce considérablement le droit à l'oubli : les données ne doivent être conservées que pour la durée nécessaire à la finalité de leur collecte. En résumé : vous collectez des données pour un but précis (par exemple sondage) et vous ne pouvez les conserver indéfiniment. Toute personne peut donc vous contacter pour demander l'effacement des données que vous détenez sur elle.
Les droits instaurés par le RGPD :
Toute personne peut demander une copie des données personnelles la concernant dans un format courant et électronique. Le but est de faciliter les démarches pour un utilisateur qui souhaiterait par exemple changer de fournisseur sans perdre ses données. Ceci a un impact pour les plateformes et acteurs du Web.
- le droit au refus de profilage ou de décisions automatisées
Par profilage, on entend l'utilisation d'un algorithme qui viserait à analyser l'intérêt d'un individu pour certains produits et sa probabilité d'achat. Le RGPD permet à toute personne de s'opposer au profilage de ses données à des fins de prospection.
- le droit à la limitation du traitement des données
Une personne peut demander à une entreprise de conserver toutes les données qu'elle détient sur elle, mais sans pouvoir les utiliser. Ce droit s'applique entre autre si l'exactitude des données est contestée par la personne, les données font l'objet d'un traitement illicite, et si la personne a fait valoir son droit d'opposition.
RGPD : qui est responsable ?
Vous devez donc désormais être en mesure de respecter les droits ci-dessus. Grande nouveauté apportée par le RGPD, le principe de responsabilité solidaire vous rend responsable des actes de vos sous-traitants en matière de collecte et d'utilisation des données personnelles. A fortiori si vous utilisez des logiciels d'emailing, de retargeting, etc. vous devez donc vous assurer que ces entreprises respectent le RGPD... plus question de rejeter la responsabilité sur vos fournisseurs ou sous traitants !
Les nouvelles obligations apportées par le RGPD
Alors comment faire pour vous mettre en conformité ? Un certain nombre d'obligations s'imposent afin de prouver que vous respectez le RGPD en cas de contrôle par la CNIL.
- Recenser toutes les données personnelles
C'est le moment de cartographier toutes les données que vous récoltez et traitez : quelles sont ces données ? Quelle est la finalité de la collecte et du traitement ? Par quelle source les collectez-vous ? Combien de temps les stockez-vous ? Profitez-en pour repenser votre stratégie, et ne collectez à l'avenir que les données réellement utiles.
- Tenir un registre traitement des données
Le fait de recenser vos données (cf. point précédent) va vous permettre de créer un registre de traitement de données dans lequel vous indiquez les données collectées, la finalité du traitement, la source de collecte ainsi que la durée de conservation. Attention, cette action ne doit pas être seulement ponctuelle : ce fichier doit être tenu à jour en cas de contrôle.
Vous devez refaire vos mentions légales car celles-ci doivent tenir compte des nouvelles exigences du RGPD, notamment en précisant combien de temps vous conservez les données personnelles des personnes physiques, vers qui elles peuvent se tourner pour faire valoir leurs droits. Ce qui pourrait sembler un casse tête juridique n'en sera heureusement pas un grâce au générateur de mentions légales RGPD mis au point par Orson en partenariat avec Domaine Legal.
Le Data Protection Officer ou Délégué à la Protection des Données sera la personne responsable de la bonne mise en oeuvre du RGPD dans votre entreprise et le point de contact en cas de contrôle par la CNIL. Pour savoir comment nommer un DPO, consultez l'article de la CNIL .
- Obtenir le consentement des personnes
Il vous faut vous assurer d'obtenir le consentement explicite des individus lorsque vous collectez leur données : revoyez vos tunnels de souscription et assurez de permettre aux visiteurs de votre site de cocher une case s'ils acceptent le traitement de leurs données.
- Mettre en place les procédures pour respecter les droits des personnes
Enfin, prenez le temps de rédiger les procédures à suivre pour pouvoir respecter les différents droits détaillés ci-dessus : vous devez être prêt à réagir rapidement si un utilisateur demande à faire valoir son droit à l'oubli ou à la portabilité de ses données. De plus, les procédures peuvent vous êtres demandées en cas de contrôle.
Quelles sanctions en cas de non respect du RGPD ?
Ces obligations peuvent sembler contraignantes dans un premier temps mais sachez que vous avez tout intérêt à vous mettre en conformité au plus vite avec le RGPD ! A la clef en cas de contrôle, des sanctions pouvant aller jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel de votre entreprise. Raison de plus pour ne pas tarder à vous mettre en conformité.
A vous de jouer !