fiche
Données personnelles : 6 points clés pour respecter le RGPD
A partir de mai 2018, toutes les entreprises de l'Union européenne vont devoir adopter une politique claire en matière de gestion des données personnelles de leurs clients. Nous faisons le point sur cette mesure qu'il est nécessaire d'anticiper.
Avant l’irruption du numérique dans les années 2000, les PME étaient peu concernées par la gestion des données personnelles. Aujourd’hui, Internet, e-commerce, smartphones, big data et autres cloud ont rebattu les cartes.La protection des données est devenue un enjeu essentiel de la révolution numérique. L’Europe tient un rôle majeur dans l’élaboration de cette nouvelle législation, et il était temps de mettre à jour la réglementation de 1978.Le règlement européen du 27 avril 2016 impose à toutes les entreprises de l’Union européenne le respect de certaines obligations dans le traitement des données personnelles qu’elles gèrent. De plus, en janvier 2017, la Commission européenne a initié un nouveau règlement sur la protection de la vie privée qui entrera également en vigueur en mai 2018. De nombreuses mises à jour en perspective pour les PME.
:
Protection des données personnelles : mettre en œuvre la nouvelle règlementation RGPD
Passez à l’action :
Protection des données personnelles : mettre en œuvre la nouvelle règlementation RGPD
| Objectifs |
|
| Définition | Constitue une donnée personnelle toute information identifiant directement ou indirectement une personne physique (nom, numéro d’immatriculation, numéro de téléphone, photographie, date de naissance, adresse postale, coordonnées bancaires, empreintes digitales etc.). Ces données peuvent concerner les clients de l’entreprise, ses fournisseurs ou encore ses partenaires commerciaux. |
| Autorité de référence | La Commission nationale de l’informatique et des libertés (CNIL). Elle dispose d’un site internet très complet et publie régulièrement des guides et des bonnes pratiques, notamment sur le règlement européen et la gestion des données personnelles par les entreprises. |
| La légalité | Pour que la collecte des données personnelles soit autorisée, l’entreprise doit au préalable informer les personnes concernées que leurs données vont être recueillies et faire l’objet d’un traitement. Elles doivent donner leur consentement et bien comprendre de quoi il s’agit.
Ces informations peuvent être fournies par courrier ou mentionnées sur le site internet de l’entreprise. Le consentement des personnes peut être recueilli par un formulaire papier ou électronique. |
| La finalité | Le responsable du traitement des données doit informer les personnes de l’usage qu’il va faire de leurs données, et de la finalité de la collecte. Ces objectifs doivent respecter les droits et les libertés des citoyens. Ce principe de finalité permet de limiter l’utilisation des données par l’entreprise et de les protéger d’un détournement. |
| La pertinence | Une collecte de données doit être limitée à l’utilisation prévue : seules les données strictement nécessaires à la réalisation de l’objectif poursuivi peuvent être recueillies. L’entreprise ne peut donc pas collecter plus de données que ce dont elle a réellement besoin. Par ailleurs, le responsable du traitement doit se montrer attentif aux données sensibles (sexe, origine, pratique religieuse etc.). |
| La conservation | Les données collectées ne doivent être conservées que pour une durée limitée. Une fois que l’objectif de l’entreprise est atteint, elle doit supprimer les données. La durée de conservation est définie au préalable par le responsable de traitement. |
| La sécurité | Le responsable du traitement doit prendre toutes les mesures nécessaires pour garantir la sécurité et la confidentialité des données collectées. Seules quelques personnes autorisées doivent y a voir accès. Le niveau de sécurité exigé dépend de la sensibilité des données et de l’objectif de la collecte. |
| Le respect des droits | Les personnes dont les données sont collectées disposent de certains droits qu’elles peuvent exercer à tout moment, notamment le droit d’accéder à leurs données, de les rectifier et de s’opposer à leur utilisation. |
| Désigner un pilote | A compter du 25 mai 2018, les entreprises devront désigner un délégué à la protection des données. Véritable chef d’orchestre des données en interne, il sera chargé de contrôler le traitement des sonnées de l’entreprise. En attendant 2018, le dirigeant peut nommer un correspondant informatique et libertés. |
| Cartographier les traitements existants | Le règlement européen et son entrée en vigueur en 2018 sont l’occasion de réaliser un diagnostic des traitements de données opérationnels dans l’entreprise. Il est conseillé d’élaborer un registre des traitements et de contrôler leur validité au regard de la législation. |
| Prioriser les actions à mener | Une fois que le registre des traitements est élaboré, il convient d’identifier les actions à mener au regard de la conformité au règlement européen. Fixez des priorités sur les traitements de données qui vous semblent le plus à risque pour l’entreprise. |
| Gérer les risques | En cas de base de données présentant un risque élevé de non-conformité, il est recommandé de mener une étude d’impact sur la protection des données : une PIA (Privacy impact assessment) permet d’organiser la prise de mesures de sécurité et de réduction des risques juridiques. |
| Organiser les processus internes | Pour garantir un bon niveau de conformité aux traitements de votre entreprise, établissez les processus internes qui vous permettront de réagir rapidement en fonction des événements qui affectent les données personnelles : gestion des demandes d’accès ou de modification émanant des personnes physiques, changement de prestataire, irruption d’une faille de sécurité, bug informatique etc. |
| Créer une documentation | A chaque étape de conformité et à chaque action menée, créez la documentation nécessaire : elle vous permettra de prouver votre conformité au règlement et pourra servir de référence en cas de nouvelle action à mener à l’avenir. |
| Sanctions | |
| En cas de non-conformité au règlement de 2016 sur les données personnelles, l’entreprise risque tout d’abord les sanctions de la CNIL : avertissement, mise en demeure, suspension des flux de données par exemple. En cas de retrait de certification, la CNIL pourra infliger une amende de 2 à 4% du chiffre d’affaires global de l’entreprise. | |
| Les réseaux sociaux | L’ambition de la réforme est d’étendre les règles sur le respect de la vie privée aux nouveaux acteurs des communications électroniques : Facebook, Gmail, Viber et autre Skype. |
| Les cookies | Les utilisateurs devront pouvoir exercer une option sur les cookies des sites internet : ne jamais les accepter, rejeter ceux qui collectent des données ou tous les accepter. Les sites web des entreprises devront donc se mettre à jour de cette possibilité. |
| Les spams | Le texte prévoit l’interdiction des spams et de toute communication non sollicitée si l’utilisateur du site de l’entreprise n’a pas donné son accord à leur réception. |
Commentaires :