Qui est concerné par le RGPD

Qui est concerné par le RGPD

Si vous êtes là, c’est que vous vous posez la question de savoir si vous êtes concerné par le RGPD.

Est-ce que vous devez appliquer le RGPD ? Est-ce qu’il existe des exclusions (taille, secteur d’activité…) ?

Nous allons voir dans cet article, qui est concerné par le RGPD et comment il faut l’appliquer dans son organisation.

Vous êtes concerné par le RGPD si :

  1. Vous traitez des données personnelles (par exemple celles de vos clients ou de vos salariés)
  2. Vous traitez les données personnelles de citoyens européens  (peu importe si vous êtes une entreprise européenne ou étrangère d’ailleurs)
  3. Même si vous n’êtes pas à l’origine de la collecte (sous-traitant, filiale…)
  4. Quel que soit votre statut juridique (entreprise, association, syndicat, organisme public, etc)
  5. Quel que soit votre taille (même si vous êtes une petite entreprise)
  6. Tous les supports des données sont concernés (papier, fichier excel ou word, images, logiciel spécialisé…)

Exemples de secteurs concernés par le RGPD

Pour répondre à la question : Qui est concerné par le RGPD ? Voici quelques exemples :

Une agence immobilière

Les agences immobilières doivent traiter des données personnelles que ce soit dans leur activité de transaction, que dans leur activité de location. Même dans les petites agences immobilières on va retrouver un grand nombre de données : candidats à la location, liste de personnes en recherche d’un bien avec leurs critères, fichier des propriétaires, etc. Certaines données contiennent des informations sensibles en particulier les pièces des dossiers de location (copie de bulletins de paie, carte d’identité des candidats et des cautionnaires, etc). Le RGPD s’applique donc bien pour une agence immobilière qui devra bien connaitre les durées légales de conservation  et pouvoir démontrer de la bonne sécurité du stockage.

Les hôtels et résidences de tourisme

Un hôtel est détenteur d’informations sur ses clients pour gérer les réservations (cardex) et les préférences des clients. Un hôtel ou une résidence devront avoir une rigueur sur les informations qu’ils détiennent. Pour cela vous devez mettre en place un registre de traitement des données personnelles qui recensera les données et les critères de licéité des traitements. Les acteurs du tourisme collectent souvent d’autres données comme des images de vidéosurveillance et parfois les plaques d’immatriculation des véhicules qui stationnent. Vous devez être au clair sur les possibilités légales et ne pas sortir des finalités possibles pour un acteur touristique. Il faudra avoir un bon niveau d’information du public que ce soit par voie d’affichage dans l’établissement ou sur le site internet. Il faudra aussi être rigoureux concernant les transferts de données (OTA, Enquête de satisfaction, etc.)

Les organisateurs d’évènements

L’organisation d’un évènement génère des données personnelles : données sur les participants et leurs accompagnent, préparation de l’évènement en amont, gestion du personnel ou des bénévoles/freelances, suivi, etc. Une société d’évènementiel ou une association organisation un évènement est donc pleinement concerné par le RGPD. Il faut être rigoureux sur la collecte des informations et leur stockage. Certains traitements doivent être bien gérés : tirage au sort, éventuel transfert à des partenaires (hébergement, transporteurs) ou des tiers, gestion des droits de suppression, etc  

Les sites e-commerce

Les marchands doivent respecter le RGPD car ils gèrent des données personnelles pour prendre les commandes. Les sites e-commerces doivent documenter avec précaution les services tiers qu’ils utilisent pour gérer leurs stocks, leurs statistiques, leur Marketplace, les transports… Cela génère des transferts de données personnelles. Certains traitements annexes doivent être surveillés comme la collecte d’avis de satisfaction, les actions de fidélisation ou de relance de panier abandonnés, l’utilisation d’algorithme de recommandation… Les éditeurs de e-commerce sont donc concernés par le RGPD dans leur métier.

Les magasins

Les points de vente peuvent générer des données personnelles dans certaines activités : la location, les facilités de paiement, le service après-vente, le suivi d’un programme de fidélité, l’animation de mailing (ou SMS) et les réseaux sociaux, la vidéosurveillance, etc. Pour toutes ses raisons, un point de vente ne doit pas négliger sa mise en conformité RGPD.

Les écoles

Un établissement scolaire doit avoir une politique pour respecter le RGPD. Vous détenez des infos personnelles sur vos élèves, étudiants, personnels, candidats, professeurs… Vous devez d’ailleurs être en alerte particulière si certains de vos élèves sont mineurs (des règles spéciales s’appliquent). Il faut bien connaitre vos possibilités pour tout ce qui concerne la sélection des élèves, la gestion d’évènements ou d’activités extra-scolaires, le maintien du contact avec des anciens élèves, les données sur la famille ou les parents, etc. La mise en place du RGPD dans une école est donc nécessaire et peut s’avérer complexe à maintenir dans le temps.

Les maisons de retraite

Pour les mêmes raisons, une maison de retraite est concernée par le RGPD. Elle doit gérer les données sur ses résidents et leurs proches avec beaucoup d’attention. Certains risques doivent être gérés concernant les données de santé (soins, prescriptions médicales…) ou sur les individus qui pourraient être considérés comme vulnérables au sens du RGPD.

Les cabinets comptables

Dans le cadre de leurs missions de tenue ou de révision, les cabinets comptables doivent traiter des données personnelles. Elles concernent le plus souvent les dirigeants d’entreprise, les actionnaires et les salariés. Il n’est pas toujours aisé de déterminer si vous être responsable de traitement ou sous-traitant au sens de la CNIL, et les responsabilités varient en fonction des missions. De nombreuses règles connexes au RGPD doivent être appliquées en termes de droit du travail et de normes anti blanchiment (Tracfin). Le suivi du RGPD doit donc être un sujet continu pour un cabinet comptable. Vigilance particulière sur les canaux d’obtention des données (carte d’identité, mandats, cartes vitales, etc.) mais aussi sur le fait de fournir le bon niveau d’information dans ses lettres de mission.

Les éditeurs de logiciels

Les sociétés informatiques doivent respecter le RGPD au titre de la relation avec leurs clients mais aussi elles doivent contribuer à aider leurs clients à se conformer au RGPD. Un éditeur doit former ses développeurs pour leur permettre de déployer techniquement le respect de la vie privée dans les logiciels (permettre l’exercice des droits d’accès par exemple). Le focus est mis dans l’actualité sur la localisation des données et le choix des partenaires d’hébergement. Il y a des règles techniques à déployer (chiffrement, identification des données à caractère personnelles, etc.). C’est donc un sujet crucial dans la roadmap de son développement logiciel.

Les banques et les établissements financiers

Les banques et les établissements financiers sont des organismes ayant pour fonction de réaliser la collecte, le traitement et l’échange d’informations concernant leurs clients. Ils disposent à cet effet d’une base de données contenant une multitude d’informations sensibles sur chaque personne physique ou morale. Ces informations peuvent être relatives aux ressources économiques du client comme son identité bancaire ou professionnelle, mais aussi ses coordonnées telles que son adresse postale, téléphone fixe ou mobile, mail, etc., sans compter un grand nombre de renseignements plus personnels sur sa vie privée.

thomas blanc rgpd


Les professionnels de santé

La santé fait l’objet d’une attention particulière du point de vue du respect de la vie privée. Le RGPD doit être déployé chez les médecins, dans les maisons de santé ou les cliniques. Idem pour les pharmacies.

Sans être exhaustive, cette liste de professions concernées par le RGPD vous donne quelques notions.

Conclusion : Comprendre qui est concerné par le RGPD est la première étape.

Vous l’aurez compris le règlement général sur la protection des données personnelles est une modification profonde pour la plupart des professionnels.

Nous traitons tous des informations nécessaires à notre métier. Nous avons besoin de données personnelles pour alimenter nos métiers (fichier client, SAV, contrats…) mais aussi pour répondre à des obligations légales (paie, comptabilité, facturation électronique, etc).

Les dirigeants doivent planifier la mise en place du RGPD au plus profond de leur organisation.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.