C’est un peu rude la première fois qu’on est amené à s’occuper du RGPD.
On a du mal à comprendre ce qu’il faut faire. C’est un déluge d’informations.
Nombreux sont ceux qui abandonnent ou qui repoussent car ils ne savent pas par où commencer.
J’ai justement fait cet article pour que ce soit votre point d’entrée : le RGPD pour les nuls.
Si vous avez besoin de déchiffrer ce qui est important dans le RGPD, vous êtes au bon endroit.
Quand j’ai commencé à faire ma première mise en conformité RGPD en 2018, c’était dur de trouver de l’info. Dans cet article, je vous explique le RGPD comme j’aurai aimé qu’on me l’explique :
- Par où commencer
- Comment avoir la vision d’ensemble d’un projet RGPD
- Accéder à des modèles rgpd gratuits
Ce que le RGPD change pour vous
Tout le monde traite des données personnelles. Vous avez la nécessité de traiter des données personnelles pour votre métier :
- Des données sur ses clients et prospects (pour les relancer, facturer, fidéliser…)
- Des informations personnelles sur ses salariés (pour les recruter, payer, former…)
- Une collectivité manipule aussi des données sur ses administrés et son personnel
- Et c’est aussi le cas d’une association (membres et bénévoles)
Exemples de données personnelles
Fichier client et prospects | Données sur les salariés | Images de vidéosurveillance | Echanges |
Pour protéger l’individu, le RGPD reporte une responsabilité importante sur les responsables de traitements. C’est probablement l’un des niveaux de protection le plus élevé au monde.
RGPD pour les nuls : Mais c’est quoi le RGPD ?
Le règlement général sur la protection des données (RGPD) (UE) 2016/679 du 27 avril 2016 est entré en vigueur en mai 2018. Il est complété en France par la Loi Informatique et Liberté.
C’est un changement majeur dans la manière dont on doit gérer les données personnelles des citoyens de l’Union Européenne.
Dans tous les cas, vous devez mettre votre pierre à l’édifice (même si vous êtes de petite taille).
Changement n°1 : Vous devez justifier de la moindre donnée personnelle que vous traitez.
Pour cela il y a des documents obligatoires à créer en particulier le registre des données personnelles et la politique de confidentialité. Les données doit être collectées pour une finalité particulière, elles sont conservées pour une durée définie.
Changement n*2 : Un grand pouvoir implique de grandes responsabilités
Vous avez un devoir de protéger la donnée contre les mauvais usages, les piratages et perte de données. Seules les personnes directement concernées doivent avoir accès. Il faut encadrer les partages avec des freelances, partenaires ou sous-traitants.
Changement n*3 : vous pouvez être « garant » des entités avec qui vous collaborez
Il faut vous assurer de la conformité de toute la chaine de traitement en particulier des logiciels que vous utilisez. Il faut s’assurer que les autres entreprises avec qui vous travaillez sont conformes (informaticien, expert-comptable, sous-traitant, agence de communication, etc).
Changement n*4 : Les individus sont de plus en plus exigeants et vous demandent de rendre des comptes.
Les consommateurs peuvent exercer un certain nombre de droits comme l’accès, la rectification ou le droit à l’oubli.
Changement n*5 : La création d’une bulle de protection en Union Européenne.
Dès lors que les données doivent naviguer en dehors de cet espace, vous devez vous renseigner sur la législation applicable. Certains pays sont adéquats et d’autres nécessitent des protections juridiques ou techniques particulière. C’est une difficulté quand on utilise des logiciels américains ou chinois par exemple.
En bref, vous devez être hyper rigoureux dans votre manière de gérer des données personnelles.
Quels sont les risques de ne pas être conforme au RGPD ?
C’est crucial que vous puissiez comprendre vos droits et vos devoirs : Ne rien faire peut vous couter cher et nuire à votre réputation.
Ne pas se mettre en conformité vis-à-vis du RGPD c’est s’exposer à un risque d’amende (jusqu’à 4% du Chiffre d’Affaires).
Risque de réputation | Risque d’amende | Name and Shame |
Décryptage : les documents RGPD obligatoires à créer
Cartographie des données
3 registres :
- Registre des traitements
- Registre des sous-traitants
- Registre des notifications de violations de données
La procédure pour répondre aux clients
La nomination du DPO
L’analyse d’impact
La bannière des cookies
Politique de confidentialité + Politique cookies
Les mentions utiles sous les formulaires
RGPD pour les nuls : Le guide complet 2022
Le RGPD, (Règlement Général sur la Protection des Données) est un texte européen encore très méconnu. Entré en application le 25 mai 2018, il encadre l’utilisation des données personnelles. Si vous en collectez, vous êtes alors forcément concerné par ce règlement qui s’applique à toute association, entreprise et organisme public ou privé. Découvrez ici le guide complet 2022 pour comprendre tout ce qu’il y a à savoir sur le RGPD.
Le traitement des données, qu’est-ce que c’est ?
Une donnée personnelle peut être un nom, un prénom, un numéro client, un identifiant, un numéro de téléphone mobile ou fixe, ou une donnée biométrique. Elle peut aussi être un ensemble d’éléments concernant l’identité physique, physiologique, politique, culturelle, économique, psychique et génétique d’une personne. La donnée personnelle peut également concerner le sexe, la santé, les comportements d’achats, les activités sur Google, la localisation, un numéro de passeport, de carte d’identité, de sécurité sociale, etc.
La donnée personnelle est donc une notion très large, qui comprend beaucoup d’informations.
Dans le cadre du RGPD, le traitement des données est défini comme englobant une très large série d’actions, plus particulièrement la collecte (par des questionnaires ou des jeux , par exemple), l’usage, l’organisation ou la communication desdites données à des tiers.
Le responsable du traitement est celui qui est chargé du choix des moyens ou des finalités nécessaires au traitement de données. Dès lors, même si des entreprises ne font pas directement de traitement de données parce qu’elles sollicitent les services d’un prestataire extérieur pour l’analyse de ses informations clients par exemple, elle peut être qualifiée de responsable du traitement. Quant au prestataire, il sera vu comme un simple sous-traitant soumis de façon particulière au RGPD.
Le RGPD : qui est concerné ?
Le RGPD n’a pas d’entreprises particulières pour cible. Le champ d’application de cette règlementation européenne est uniquement défini par les activités qu’exercent les entreprises considérées. Ainsi, même les PME peuvent y être sujettes. Évidemment, toutes les sociétés n’ont pas le même rapport avec le RGPD. Tout dépend de leur nature, de la quantité et du traitement des données qu’elles possèdent. Les agences immobilières, par exemple, ont été particulièrement visées par la Commission Nationale de l’Informatique et des Libertés (CNIL) lors de ses opérations de contrôle du respect du RGPD.
Toute personne ayant en sa possession une donnée personnelle est concernée par le RGPD. Ainsi, dès que vous faites des traitements de données personnelles d’une personne physique ou morale, vous êtes automatiquement concerné par le RGPD. Par conséquent, vous vous devez de respecter le règlement à la lettre sous peine de sanctions.
Quelles sanctions en cas de non-respect du RGPD ?
Selon la (CNIL), toute personne qui fait preuve de violation du RGPD en 2022 risque gros. Cela peut représenter une amende pouvant aller jusqu’à une vingtaine de millions d’euros, ou environ 4 % du chiffre d’affaires total de l’entreprise en cause. Pour en arriver là, il faut passer par plusieurs étapes différentes :
- rappel à l’ordre ;
- demande de mise en conformité, même sous astreinte ;
- limitation du traitement des données ;
- suspension de tous les flux de données ;
- amende administrative.
Contre toute attente, même si ce sont les multinationales qui risquent les plus fortes amendes, elles ne sont pas forcément les plus exposées. En effet, elles ont des détachements d’experts et de juristes qui travaillent à plein temps pour rester dans les bonnes grâces de la loi. En revanche, le risque est plus élevé pour les entités moins grandes, comme les associations, les PME ou encore les TPE.
Les obligations du RGPD
Une liste d’obligations du RGDP est dressée pour les entreprises traitant les données personnelles de leurs clients ou utilisateurs.
Licéité du traitement
Selon cette obligation, la collecte et le traitement de l’information ne doivent être réalisés que dans une liste de cas définis par le RGPD. La collecte doit par exemple être faite seulement avec le consentement de l’individu concerné par la donnée dans le respect de ses droits.
Finalité du traitement
Ici, la collecte de la donnée doit être en réponse à un objectif précis et pas « au cas où » ou comme une fin en soi. Son utilisation réelle doit correspondre à ce but.
Minimisation des données
L’entreprise collecte et utilise uniquement les données personnelles essentielles suivant l’objectif initial. Pour faire court, aucune violation ni donnée superflue n’est donc acceptée.
Protection spéciale des données sensibles
Les données sensibles comme celles financières et médicales doivent être scrupuleusement protégées, grâce à un chiffrement des données. En effet, la confidentialité dans le RGPD est de mise.
Limitation du temps de conservation des données
Les données doivent toutes être supprimées de tout support (même du web) dès le moment où elles deviennent inutiles. La période de conservation d’une donnée dépend du type de données collectées. La CNIL recommande la suppression des coordonnées d’une personne au bout de 3 ans lorsqu’il n’y a pas d’échanges.
Obligation de sécurité
Des principes de sécurité et de confidentialité se doivent d’être appliqués, peu importe la nature des données concernées.
Transparence
Les personnes ayant leurs données collectées doivent en être informées et être d’accord pour la collecte. Elles doivent également consentir à l’utilisation et aux finalités que subiront leurs données.
Droits des personnes
Le RGPD protège les personnes dont les données font l’objet d’une collecte : droit d’accès aux données, droit de faire opposition au traitement, droit à l’oubli.
Tous ces principes peuvent paraitre particulièrement lourds à mettre en place, mais il existe des solutions simples pour permettre une gestion respectueuse du RGPD. De plus, dans de nombreux cas de figure, la nomination d’un Délégué à la Protection des Données (DPO) est obligatoire. Chargé du RGPD, il peut être une personne extérieure, ou bien un employé dans l’entreprise.
Le RGPD n’est pas une protection absolument étanche contre toutes les violations de la vie privée. Il représente un outil juridique positif permettant la protection des personnes et de leurs droits. Il concerne également les sous-traitants chargés de traiter les données personnelles pour d’autres organismes. Par conséquent, si vous désirez traiter ou collecter des données pour une autre entité (association, collectivité, entreprise), vous devez vous acquitter d’obligations spécifiques afin de garantir la protection des données concernées.