RGPD : êtes-vous prêts ? - Digital Evolution - Accélérateur de croissance pour les PME et TPE
Digital Evolution » Paroles d’experts » Réglementation » RGPD : êtes-vous prêts ?

RGPD : êtes-vous prêts ?

Le Règlement sur la Protection des Données dont vous avez tant entendu parler n’est plus seulement un sujet d’actualité mais une réalité ! Il est devenu une obligation dès aujourd’hui Vendredi 25 Mai 2018.

Toutes les entreprises qui récoltent et traitent des données personnelles sont dans l’obligation d’appliquer ces nouvelles règles.

Le RGPD, qu’est ce que c’est exactement ?

Le RGPD est le nouveau Règlement Européen sur la Protection des Données Personnelles qui entre aujourd’hui en application dans toute l’Union Européenne. Ce texte a été rédigé afin de protéger les utilisateurs dans l’usage de leurs données personnelles par les entreprises et toutes les organisations (mairies, administrations…) qui collectent des informations personnelles. C’est un texte unique pour toute l’Union Européenne.

Les entreprises ne respectant pas ce nouveau règlement risquent une amende pouvant aller jusqu’à 4% de leur chiffre d’affaires annuel ou 20 millions d’euros.

Quels sont les principes clés ?

Obtenir le consentement explicite

Comme indiqué dans l’article 7 « le consentement devrait être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant, par exemple au moyen d’une déclaration écrite, y compris par voie électronique, ou d’une déclaration orale. » Toutes les personnes enregistrées dans votre base doivent re-donner leur accord, vous pouvez pour cela leur envoyer un email en leur demandant de se réinscrire à votre base et les informer en toute transparence de quels usages vous allez faire de ces données. Dans le cas où l’utilisateur n’a pas donné son consentement, vous devrez supprimer les données de votre liste.

Tenir un registre des activités de traitements

Pour pouvoir justifier du respect de la loi, vous devrez tenir un registre des activités de traitements. Dans ce registre, vous devrez identifier avec précision les types de données à caractère personnel dont vous disposez et savoir où elles sont stockées et transférées :

  • les dates d’abonnement et désabonnement
  • les points de collectes
  • les natures des données traitées
  • les destinataires amenés à utiliser les données
  • les transferts en dehors de l’UE
  • les durées de conservation
  • les mesures de sécurité mises en place

La transparence et le droit à l’oubli

Vous devez informer les individus de l’usage que vous ferez des informations récoltées et toute personne demandant à avoir accès à ces informations doit pouvoir le faire rapidement. Concernant le droit à l’oubli, en cas de demande de suppression des données, le délai n’est plus que d’un mois (au lieu de deux). Les individus ont aussi le droit désormais de récupérer les informations fournies, c’est ce que l’on appelle le droit à la portabilité des données.

Les utilisateurs doivent pouvoir se désabonner facilement de votre base, simplifiez la procédure de désinscription en utilisant un en-tête « list unsubscribe » comme le CSA l’exige depuis quelque temps déjà.

Le principe de responsabilité

En collectant des données, vous êtes responsables de l’usage que vous en faites mais aussi de l’usage qu’en feront vos sous-traitants ou partenaires. Vous devez mettre en place des mesures spécifiques afin de garantir la sécurité des données récoltées, en appliquant le concept « privacy by design« , qui a pour objectif d’intégrer la protection de la vie privée dans les nouvelles applications technologiques et commerciales dès leur conception. Il est important de bien choisir vos sous-traitants en leur demandant une certification RGPD et de désigner en interne un délégué à la protection des données ou DPO (data protection officer) en anglais, il sera chargé de contrôler la conformité des process.

Pour en savoir plus, contactez nos Experts.