Le RGPD : tout le monde est concerné !

On en entend parler tous les jours, on est bombardés d’emails… Mais pour autant, avez-vous fait le nécessaire, même au sein de votre petite structure ?

Le RGPD : tout le monde est concerné !

On en entend parler tous les jours, on est bombardés d’emails… Mais pour autant, avez-vous fait le nécessaire, même au sein de votre petite structure ?

Le RGDP, Règlement européen sur la Protection des Données Personnelles, concerne toutes les entreprises, y compris les petites. Ne pas le respecter peut coûter cher.

En Belgique, la Commission de la Protection de la Vie Privée (organe de contrôle dans cette matière) pourra bientôt infliger des amendes administratives pouvant atteindre plusieurs millions d’euros en cas de non-respect de la législation. Il vaut donc mieux être en conformité pour le 25 mai 2018.

Quiconque traite (stocke, utilise, transmet, …) des données relatives à des personnes identifiées ou identifiables, doit respecter le RGPD et notamment informer ces personnes que leurs données sont traitées dans vos systèmes et des droits dont elles bénéficient.

C’est la raison pour laquelle vous voyez aujourd’hui apparaître de plus en plus d’emails avec des notices d’information « actualisées » et ce sera encore le cas dans les semaines à venir.

En d’autres termes, ce à quoi vous devez faire attention, c’est préparer une privacy notice que vous « glisserez » dans chacune de vos communications électroniques, par exemple en intégrant à votre signature électronique une référence à cette privacy notice qui devrait figurer sur votre site Internet.

En tout état de cause, dans chaque newsletter envoyé, il vous faudra renseigner la possibilité de se désinscrire  (c’est ce qu’on aperçoit généralement avec la mention « Unsubscribe »). Si une personne en fait la demande, il vous faudra lui envoyer un accusé de réception par courrier électronique lui confirmant l’enregistrement de sa demande.

Vous trouverez ici un guide bien utile à destination des PME

 

Les 4 principes clés du GDPR et les mesures qui en découlent :

(source : http://www.custup.com/introduction-gdpr-rgdp/)

 

Le consentement

 

A partir du 25 mai 2018, le consentement des individus quant à la collecte et au traitement des données à caractère personnel les concernant devra être explicite et « positif ». Ce consentement pourra être retiré à tout moment par les individus le demandant. Les entreprises faisant du traitement de données devront, par ailleurs, être en mesure de prouver le recueil de ce consentement le cas échéant (en cas de contrôle de la CNIL).

Une distinction doit être faite entre le B2B et le B2C concernant les règles du consentement relatif aux sollicitations email. Pour les entreprises B2B, la collecte du consentement n’est pas obligatoire si la finalité de la collecte est bien respectée. Dans ce cas, les cases pré-cochées sont autorisées. En revanche, le consentement est obligatoire (case à cocher) pour des sollicitations par des tiers (filiales, partenaires…).

Les entreprises B2B collectant de la donnée B2C devront veiller à bien séparer les modes de collecte suivant qu’il s’agit de données B2B ou de données B2C. Cela pourra par exemple se traduire par la mise en place de deux entrées différentes sur le site afin d’adapter les règles de consentement en fonction du type de clients (B2C/ B2B).

Le GDPR emporte aussi des conséquences dans le mode de gestion des cookies. La nouvelle réglementation impose la mention des informations suivantes : la finalité du cookie, le droit d’opposition de l’utilisateur et l’acceptation implicite de l’utilisateur si celui-ci décide de poursuivre sa navigation. Le bandeau d’information ne devra pas disparaître tant que l’utilisateur n’aura pas poursuivi sa navigation (en ouvrant une nouvelle page par exemple).

Autre conséquence : à compter de mai 2018, aucun cookie ne pourra être déposé si l’utilisateur rebondit sur la page – sauf les cookies nécessaires au bon fonctionnement du site. Cela devra être pris en compte dans les projets de DMP ou de mutualisation des données clients.

Toujours sur le thème du consentement, le GDPR prévoit une autre évolution majeure : l’encadrement du profilage. Le règlement n’interdit pas cette pratique, mais renforce son encadrement. Il impose notamment le recueil d’un consentement explicite de la part des personnes (case à cocher). Le profilage sera par ailleurs soumis à compter de mai 2018 au droit d’opposition.

 

La transparence

 

La transparence est le deuxième grand principe mis en avant par la RGPD. Il s’articule au consentement, dans la mesure où la transparence est la condition de possibilité d’un consentement explicite et éclairé.

Les Entreprises devront – et ce dès la phase de collecte – fournir aux individus des informations claires et sans ambiguïté sur la manière dont leurs données seront traitées. Ces informations devront être fournies de façon concise, compréhensive et accessible par tous (par exemple, sur les formulaires de collecte, dans les documents contractuels, sur la page du site relative à la politique de « privacy », etc.).

 

Le droit des personnes

 

Un des principaux objectifs du GDPR est de renforcer les droits des personnes physiques. Les résidents européens se voient attribuer de nouveaux droits :

Un droit d’accès facilité pour tous les utilisateurs. Le responsable du traitement devra faciliter l’exercice de ce droit, par la mise en place de process et d’outils adaptés. Si la collecte s’opère sur le site internet par exemple, une solution électronique devra être prévue, si possible avec un accès à distance sécurisé. En cas de demande d’accès de la part d’un utilisateur, l’entreprise disposera d’un délai d’un mois maximum pour la satisfaire.

Un droit l’oubli pour tous les utilisateurs. L’apport majeur de la réglementation réside dans l’extension de conditions d’exercice de ce droit. Les entreprises disposeront d’un délai réduit d’un mois, et non plus de deux mois, pour supprimer les données à la suite d’une demande. Toutes les copies et toutes les reproduction des données devront aussi être effacées.

Un droit à la limitation du traitement, applicable dans quelques cas précis.

Un droit à la portabilité des données. Il s’agit d’un nouveau droit qui permet à une personne de récupérer les données qu’elle a fournies, sous une forme aisément réutilisable et, le cas échéant, de les transférer à un tiers (en cas de changement de fournisseur de services par exemple).

Il revient aux entreprises de garantir le droit des personnes par la mise en place de mesures, d’outils et de process appropriés. Ce qui nous amène au quatrième principe du GDPR : la responsabilité.

 

La responsabilité (accountability)

 

Le GDPR vise à responsabiliser davantage les entreprises dans leur traitement des données à caractère personnel. Cela se traduit par :

L’obligation faite aux entreprises de documenter toutes les mesures et procédures en matière de sécurité des DCP. Les entreprises devront être en mesure de démontrer leur conformité avec la réglementation en cas de contrôle de la CNIL. Cette mesure se traduit par l’obligation de tenue d’un registre des traitements. Ce registre permettra de constituer une base de données des traitements, mais pourra aussi servir à centraliser et à suivre toutes les démarches de conformité mises en œuvre par l’entreprise.

Le renforcement des mesures de sécurité. Les entreprises sont responsables de la sécurité des données qu’elles traitent et doivent mettre en place les mesures adéquates pour la garantir (pseudonymisation des données, analyses d’impact, tests d’intrusion…).

La mise en avant du principe de « Privacy By Design ». Ce principe désigne toute la démarche visant à prendre toutes les mesures permettant de protéger les droits des personnes en amont (= dès la conception d’un produit ou d’un service) et tout au long du cycle de vie des données (de leur collecte à leur suppression).

L’encadrement des sous-traitants. Les entreprises devront choisir des sous-traitants présentant des garanties suffisantes. En cas de faille de sécurité au niveau du sous-traitant, ce sera l’entreprise cliente (= le responsable des traitements) qui sera tenue pour responsable. En conséquence, les entreprises devront revoir les contrats signés avec les sous-traitants en intégrant des clauses concernant les DCP. Le GDPR instaure en fait un régime de co-responsabilité des sous-traitants.

La notification en cas de faille de sécurité (data breach). Les entreprises auront pour obligation de mettre en place des actions en cas de violation de sécurité entraînant la destruction, la perte, l’altération ou la divulgation non autorisée de DCP. En cas de faille de sécurité, l’entreprise devra la notifier à l’autorité de régulation compétente (en France, la CNIL) dans un délai de 72h. Les personnes physiques concernées devront être informées « dans les meilleurs délais » si la faille ou la violation de données comporte un risque élevé pour les droits et libertés.

L’obligation de désignation d’un Data Protection Officer (en français : « Délégué à la Protection des Données »). Doté d’un rôle très important, le DPO sera chargé de piloter la gouvernance des données, de contrôler la conformité de l’entreprise avec le GDPR et de conseiller le responsable des traitements. Cette obligation de désignation d’un DPO ne s’applique qu’aux entreprises réalisant des traitements sur des données sensibles et/ou à grande échelle.

La suppression de l’obligation de déclaration préalable à la CNIL. Cette mesure traduit le principe qui gouverne le GDPR : responsabiliser les entreprises, en développant l’auto-contrôle.

Le GDPR opère de grands changements dans le paysage réglementaire relatif à la protection des données à caractère personnel. La conformité au GDPR sera demain la clé de réussite de la performance CRM. Dans un deuxième article, nous parlerons de l’impact de cette nouvelle réglementation sur les entreprises.

 

Autres liens utiles à consulter :

https://www.digitalwallonia.be/fr/publications/gdpr

https://www.privacycommission.be/fr/reglement-general-sur-la-protection-des-donnees-0

LES CONSÉQUENCES DU BREXIT POUR LA TVA

LES CONSÉQUENCES DU BREXIT POUR LA TVA

Il n'est actuellement pas certain que, d'ici le 31 octobre 2019, un accord soit conclu entre l'Europe et le Royaume-Uni sur les modalités pratiques de la sortie de ce pays de l'Union européenne. Par conséquent, ce que l'on appelle le Brexit dur...

lire plus
N’oubliez pas de compléter votre registre U.B.O.

N’oubliez pas de compléter votre registre U.B.O.

Si vous détenez au moins 25% des parts/actions d’une société ou si vous êtes son dirigeant, vous devez remplir le registre UBO pour le 30.09.2019. Veuillez noter que ce registre ne s’applique pas aux indépendants. Si vous détenez au moins 25% des parts/actions d’une...

lire plus
Le référencement ne se copie pas !