Dans le but de mieux accompagner les clients dans leurs besoins, de nombreuses entreprises doivent collecter leurs données à caractère personnel. Les façons dont ces données doivent être collectées ainsi que les modalités de traitement sont indiquées dans les mentions légales. La collecte et le traitement de ces données est encadrée par le règlement général de la protection des données (RGPD).
Pour être en conformité avec les exigences de la loi, vous devez comprendre en amont ce qu’impliquent le RGPD ainsi que les données ayant un caractère personnel. Ce guide vous donne les explications nécessaires.
Qu’est-ce qu’une donnée à caractère personnel ?
À la suite de la création d’un site internet, les équipes marketing ont régulièrement besoin des informations à caractère personnel des clients. Ces données personnelles permettent à l’entreprise qui les collecte de procéder à un traitement efficace. À la suite de ce dernier, les entreprises sont en mesure de proposer des services ou des produits sur mesure aux internautes.
Ainsi, si vous venez de créer votre site internet dans le but de recueillir des données à caractère personnel des clients, il vous faut connaître le cadre légal existant. Il s’agit d’une modalité importante en ce sens qu’une transgression vous expose à des sanctions de la part de la CNIL (Commission nationale de l’informatique et des libertés).
La CNIL considère comme données à caractère personnel, toute information d’un utilisateur pouvant permettre de l’identifier de façon directe ou indirecte. Les informations à caractère personnel qui permettent d’identifier une personne physique sont notamment les noms, les prénoms et bien d’autres éléments d’identification.
Dans le cadre d’une identification indirecte, un ensemble de données peuvent être utilisées. Il s’agit entre autres de l’adresse postale, du numéro de téléphone, d’une image, des préférences, des mails, etc.
Ces informations peuvent donc être recueillies pour un traitement. On parle de traitement de données lorsque les informations sont collectées pour être analysées ou consultées pour une meilleure prise de décision. Comme autres données personnelles d’une personne, on peut citer :
- l’ADN ;
- les informations liées à la culture de la personne ;
- les données sur l’état psychique d’une personne ;
- les informations telles que l’âge, la taille, la voix, etc.
Par ailleurs, il faut rappeler que ces données sont considérées comme personnelles uniquement pour une personne physique. Dans le cas d’une entreprise, le nom, les adresses ou les contacts de cette dernière ne constituent pas des données à caractère personnel. Ce sont des données accessibles au grand public. Elles n’ont donc aucun caractère privé.
RGPD et données personnelles : quels liens ?
Il n’y a pas de doute quant au fait que les sites internet aient besoin, dans certains cas, des informations personnelles des utilisateurs. Comme vous pouvez vous en douter, une tierce personne pouvant intercepter ces données peut accéder à la vie privée des internautes. Ainsi, il est primordial d’assurer la protection de ces dernières pour la sécurité de la personne concernée.
Pour le faire, vous devez rédiger des mentions légales qui détaillent la manière dont la collecte des données à caractère personnel sera faite, mais aussi la finalité de leur traitement. Ce sont des modalités qui dépendent du RGPD.
Le RGPD est un texte qui oblige les entreprises à assurer la protection des informations à caractère personnel d’un utilisateur. Pour faire simple, il encadre la collecte et le traitement des données des utilisateurs dans l’Union européenne.
En se mettant en conformité avec le RGPD, l’entreprise prend les mesures nécessaires qui garantissent une utilisation respectueuse de la vie privée de la personne concernée. Pour s’en assurer, la CNIL multiplie les contrôles.
RGPD : qui sont les concernés ?
La conformité au RGPD n’est pas seulement le devoir des entreprises installées dans l’Union européenne. En effet, même celles qui ne sont pas installées sur le territoire européen sont concernées dès lors qu’elles doivent recueillir des données à caractère personnel sur le vieux continent.
Comme vous l’auriez compris, une entreprise installée en Asie ou en Amérique doit se mettre en conformité avec le RGPD à partir du moment où elle collecte et procède au traitement des informations à caractère personnel sur le territoire européen.
De même, certaines entreprises délèguent la collecte et le traitement des données à caractère personnel à d’autres agences spécialisées. Dans ce cas précis, ce sont les sous-traitants qui doivent garantir la protection des données et donc la sécurité des utilisateurs.
Les mentions légales et le RGPD : comment les rédiger ?
Les mentions légales RGPD peuvent être considérées comme une feuille de route pour l’entreprise. Elles contiennent les modalités de collecte et de traitement des informations personnelles des utilisateurs. Toutefois, leur rédaction doit être effectuée par un expert du droit. Si l’entreprise ne dispose pas d’une cellule juridique, elle devra faire appel à un professionnel externe du droit.
Dans votre démarche, vous pourrez solliciter des professionnels spécialisés dans le droit RGPD. C’est généralement le cas des délégués à la protection des données (DPO). À travers ces mentions que les internautes peuvent consulter, ils savent comment, dans quels contextes et les utilisations qui seront faites de leurs informations privées.
C’est donc un texte qui optimise la sécurité des internautes dans un contexte où le monde se numérise à une grande vitesse. Pour vous assurer de vous conformer aux exigences de la loi en vigueur, il vous faut consulter l’article 13 du RGPD. Il expose les différentes informations que vous devez renseigner dans vos mentions légales.
Par ailleurs, dans lesdites mentions, vous devez préciser le but de la collecte et du traitement des informations collectées. Ensuite, les utilisateurs ont le droit de savoir à qui leurs données sont destinées. Il faudra donc exposer les personnes ou les organismes qui pourront consulter les informations à caractère personnel recueillies.
Le responsable du traitement au sein de l’entreprise doit également fixer un délai de conservation des données. Ces dernières ne peuvent être conservées indéfiniment.
La non-conformité au RGPD implique-t-elle des sanctions ?
La protection des utilisateurs est un droit absolu. En cas de non-conformité aux exigences de la loi, des associations ou des utilisateurs peuvent saisir la CNIL. La Commission nationale de l’informatique et des libertés se chargera alors d’enquêter. Par conséquent, l’entreprise est sommée par la CNIL de réguler sa situation.
Autrement, elle s’expose à des sanctions financières qui ne viendront qu’après une mise en demeure. La CNIL peut infliger de lourdes sanctions en fonction de la notoriété de l’entreprise.
Elles peuvent atteindre les 4 % du chiffre d’affaires de l’entreprise. Selon les finances de cette dernière, les frais à payer peuvent être énormes. Pour éviter d’entamer votre patrimoine et de garantir la sécurité des utilisateurs, vous devez assurer la protection de leurs données.