Artisans, commerçants, indépendants… Tous se mobilisent pour se mettre en conformité avec le Règlement général sur la protection des données personnelles qui s’appliquera le 25 mai 2018. Focus sur les principaux impacts.
Évolutions technologiques et transformation numérique ont conduit le législateur à encadrer plus clairement, et dans un contexte juridique harmonisé, les règles de protection de la vie privée.
Le Règlement général sur la protection des données (RGPD) vient renforcer la protection des données personnelles des citoyens au sein de l’Union européenne, mais repose sur une logique de conformité basée sur la responsabilisation des acteurs.
QU’EST-CE QU’UNE DONNÉE PERSONNELLE ?
Il s’agit d’une information se rapportant à
une personne physique identifiée ou
identifiable : nom, numéro d’identification,
adresse email, adresses IP, etc.
QUI EST CONCERNÉ ?
Si vous collectez, stockez ou utilisez des données personnelles de citoyens européens ou si vous traitez des data personnelles pour le compte d’un tiers, vous êtes concerné par le RGPD.
QUELLES SONT VOS NOUVELLES OBLIGATIONS ?
Le RGPD prévoit un certain nombre de mesures applicables en fonction du niveau de risque sur les droits et libertés des
personnes. Si vous êtes concerné(e), vous devrez notamment :
• garantir les droits des citoyens en leur donnant plus de maitrise sur leurs données personnelles : droit à la portabilité, droit de
rectification, droit à l’oubli, droit à la limitation du traitement ;
• obtenir le consentement(1) explicite du client ou prospect lors de la collecte de données et en conserver la preuve ;
• protéger les données dès la conception du produit ou service et par défaut (privacy by design) ;
• mettre en oeuvre des mesures de protection des données appropriées (code de conduite, certification…) et démontrer
cette conformité à tout moment ;
• tenir un registre des traitements des données : les entreprises de moins de 250 salariés n’y sont pas tenues sauf si elles effectuent des traitements réguliers ou susceptibles de comporter un risque
pour les droits et les libertés des personnes concernées ou portant sur des données sensibles. Cette exception n’a qu’une portée
limitée car souvent les traitements sont permanents et non occasionnels comme par exemples ceux relatifs à la gestion du
personnel ou de la clientèle ;• nommer un délégué à la protection des données (interne ou externe) : obligatoire si votre activité de base consiste à traiter des données à grande échelle impliquant
un suivi systématique des personnes concernées ou des données sensibles ;
• notifier dans les 72h la violation des données à la CNIL (en cas par
exemple de cyber attaque). Vous devez informer les personnes concernées par cette violation si elle est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne ;• mener des analyses d’impact sur la vie privée pour :
– déterminer les risques pour les droits et libertés des personnes concernées que présente un traitement de données ;
– définir les actions à mettre en place pour faire diminuer ces risques et protéger les données. Ces analyses sont obligatoires pour tout nouveau traitement susceptible d’engendrer des risques élevés sur la vie privée des clients ou prospects.
QUELLE EST LA SANCTION FINANCIÈRE EN CAS D’INFRACTION ?
La sanction peut aller du simple avertissement à une amende pouvant pour les entreprises en fonction du type d’infraction, aller de 2 à 4% du CA annuel mondial. Loin d’être une contrainte, cette nouvelle réglementation doit être vue comme une opportunité d’optimiser vos données, d’améliorer l’image « éthique »
de votre entreprise et de renforcer son attractivité vis-à-vis de vos clients et prospects.
Pour se préparer au Règlement européen :
www.cnil.fr