Blog tech

Le RGPD pour les nuls

Rédigé par Marie Ducrocq | 28 juin 2018

RGPD, un acronyme devenu incontournable ces derniers temps et qui, rien qu’à la lecture de ce qui l’accompagne, peut vous rebuter.

Alors, allons-y tranquillement et décryptons ensemble ce que cela va changer et comment mettre en place les actions de conformité.

D’abord, faisons connaissance

Le Règlement Général sur la Protection des Données est le nouveau texte de référence européen en matière de protection des données personnelles.

Qui est concerné ?

  • Tout citoyen donnant son consentement pour le traitement de ses données personnelles :

L’objectif du règlement est de donner davantage de droits aux citoyens pour qu’ils soient avertis et puissent contrôler l’utilisation des données collectées à leur sujet.

  • Toute entreprise collectant et traitant des données à caractère personnel sur les résidents de l’Union Européenne :

Ce texte vise à donner plus d’obligations aux entreprises quant à la sécurisation et au traitement des données qu’elles collectent.

En pratique, qu’est-ce que cela change ?

Je suis utilisateur, je renseigne mes données, quelles sont les conséquences ?

En tant que consommateur, je ne vais plus cliquer sans réfléchir sur « J’accepte les conditions d’utilisation ».

Ou peut-être que si en fait.

Car ne nous leurrons pas, vous serez toujours sollicités sur les sites pour valider des parpaings d’informations sans pour autant prendre le temps de les lire.

La différence c’est qu’on vous aura prévenu. À vous d’être maître de vos données.

Quelques explications :

Un consentement c’est donner son accord.

Mais attention, si vous devez vous faire retirer l’appendice et que l’on vous explique que les bistouris ne sont pas stérilisés, vous avez le droit de refuser de signer le consentement (et je vous y incite fortement).

Ici c’est la même chose. De la même façon que vous êtes propriétaire de votre corps, vous êtes propriétaire de vos données personnelles.

Les entreprises doivent donc recueillir votre consentement avant de collecter vos données.

De plus, vous allez pouvoir :

  • accéder aux données stockées par les entreprises et le détail de leur traitement
  • corriger les informations inexactes
  • exercer votre droit :
    • à la limitation du traitement (isolation des données)
    • à la portabilité (export de données)
    • à l’opposition (arrêt du traitement des données)
    • à l’oubli, en retirant votre consentement (effacement des données sur toutes les plateformes concernées)

Je suis une entreprise, voici les 5 étapes à mettre en place

Vous allez devoir expliquer pourquoi vous collectez les données et comment elles seront utilisées. Et ceci pour chacune d’elles.

1. Posez-vous la question de la nécessité des informations collectées et de la finalité qu’auront celles-ci.

Rien ne sert de collecter des données sensibles qui ne seront pas exploitées et pour lesquelles de lourds processus doivent être mis en place.

2. Mettez en place le consentement éclairé et sachez en apporter la preuve.

  • Soyez clair, explicite : pas d’ambiguïté ni de case pré-cochées (opt-in passif)
  • Le consentement doit être libre de choix : la personne concernée doit pouvoir refuser ou retirer son consentement de façon accessible.
  • Il doit être spécifique : le consentement aux CGV ou aux CGU doit être séparé du consentement au traitement des données.
  • Il doit être détaillé concernant les partenaires et autres parties prenantes de l’entreprise qui l’utiliseront.
  • Toutes les finalités pour lesquelles seront utilisées les données doivent être indiquées.
  • La durée de conservation doit apparaître.

N’oubliez pas que vous avez l’obligation de conserver une preuve des consentements.

3. Mettez en place un registre, pour cartographier les données.

Dans ce registre listez les activités pour lesquelles vous traitez des données personnelles (gestion de la paie, des fournisseurs, des prospects).

Puis vous devrez créer et tenir à jour une fiche de registre par activité :

  • Objectifs poursuivis (finalité : RH, marketing, mailing)
  • Catégories de personnes concernées (salariés, usagers, clients…)
  • Catégories de données collectées (adresses IP, états civils, données bancaires…)
  • et leur sensibilité (biométriques, politiques, ethniques…)
  • Durées de conservation des catégories de données
  • Mesures de sécurité (sauvegarde des données, contrôles d’accès…)
  • Catégories de destinataires des données :
    • organismes externes (filiales, partenaires)
    • sous-traitants (hébergeurs, prestataires…)
    • transfert vers des pays hors UE

Grâce à ce registre et à cette vision d’ensemble, le DPO (Délégué à la Protection de Données) de votre entreprise, pourra vous accompagner dans la mise en conformité. Ce n’est pas le travail d’un jour mais plutôt une démarche permanente dont le DPO devra être le pilote.

4. Revoir les contrats fournisseurs

Si vous donnez accès à vos données à l’un de vos sous-traitants, celui-ci devient alors coresponsable du traitement de ces données. Il faut donc interroger vos fournisseurs sur les modalités de leur mise en conformité au RGPD.

5. Violation de données

En cas de violation de données, les entreprises sont maintenant obligées de prévenir les personnes concernées : le salarié, le consommateur ou l’utilisateur mais également la CNIL au plus tard 72 heures après la découverte de la violation.

Notez que si vous ne respectez pas le RGPD, des sanctions seront appliquées. Celles-ci sont progressives en fonction de la gravité des manquements aux obligations. Elles peuvent donc aller de l’avertissement à une amende de 4% du chiffre d’affaires mondial de votre entreprise.

Je suis salarié, qu’est-ce que le RGPD va changer ?

Comme pour les collectes de données via les sites web, les entreprises collectent des données sur leurs salariés dès leur embauche.

Elles doivent donc vous informer sur l’utilisation de vos données (clause dans le contrat de travail) et vous permettre de donner ou de retirer à tout moment votre consentement quant à l’usage de votre image (trombinoscope d’entreprise par exemple).

Dès votre départ, toutes ces données doivent être archivées puis supprimées après la durée de prescription légale.

L’équipe Synbioz.
Libres d’être ensemble.