Le RGPD en bref

Le RGPD en bref

Agrandir le text
Diminuer le text
Partager Imprimer
Mots clés  
  • -
Retrouvez ici les grands principes du Règlement Général sur la Protection des données auquel sont soumis les organisations traitant des données personnelles.

Vous êtes concernés !

Toutes les organisations, établies sur le territoire de l’Union Européenne et ciblant les résidents européens, traitant des données personnelles (entreprises, associations, groupements, professions indépendantes…) sont concernées.
Le RGPD concerne aussi les sous-traitants qui traitent des données personnelles pour le compte d’autres organismes. Les sous-traitants ont alors des obligations spécifiques.

Que vous opériez en B2B, B2C, B2B2C, le RGPD s'applique...

Même si votre activité relève du domaine de B2B (prestations entre entreprises), vous traitez des données personnelles : 

  • pour vos besoins internes (salariés, contacts de fournisseurs…)
  • pour vos clients s’agissant des contacts de personnes physiques ou d’informations à caractère personnel nécessaires à l’exécution de votre contrat

... et entre en application le 25 mai prochain.

L'entrée en application du RGPD est le 25 mai 2018, date à laquelle les organisations doivent s'engager sur la voie de la mise en conformité en disposant d'un registre des traitements de données personnelles.

Ce réglement concerne la donnée personnelle...

Une donnée personnelle c’est
 « toute information se rapportant à une personne physique identifiée ou identifiable ».
Une personne peut être identifiée :

  • directement (exemple : nom, prénom) ;
  • indirectement (exemple : par un identifiant (n° client), un numéro (de téléphone), une donnée biométrique, plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale, mais aussi la voix ou l’image).

L’identification d’une personne physique peut être réalisée :

  • à partir d’une seule donnée (exemple : numéro de sécurité sociale, ADN) ;
  • à partir du croisement d’un ensemble de données (exemple : une femme vivant à telle adresse, née tel jour, abonnée à tel magazine et militant dans telle association).

... pour laquelle vous effectuez des traitements

Un « traitement de données personnelles » est une opération, ou ensemble d’opérations, portant sur des données personnelles, quel que soit le procédé utilisé (collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission diffusion ou toute autre forme de mise à disposition, rapprochement).
Sont essentiellement visés les traitements numériques mais la collecte de données personnelles sur papier est également concernée.

Les 3 principes à retenir

1. Un traitement de données = une finalité, un but légal ou légitime au regard de votre activité professionnelle et un consentement éclairé de la personne qui fournit les données.

Exemple : je collecte les données personnelles de mon client pour un programme de fidélisation à mon commerce.
Je ne peux pas donc pas utiliser ces données pour promouvoir l’offre d’un de mes partenaires car ce cas n’était pas prévu lors de la collecte de la donnée.

2. Principe de minimisation

Je ne collecte pas plus de données que celles dont j’ai besoin pour répondre à la finalité du traitement. Le temps de la collecte de plusieurs données "au cas où" vous en auriez besoin plus tard est révolu.

3. Conservation de données

Je ne peux plus conserver les données au-delà de ce qui est nécessaire.

  • Quels sont les motifs de conservation des données ?
    • Exécution d’une obligation contractuelle
    • Délai de conservation légal à respecter
    • Intérêt légitime pour votre activité. Sur ce point, la conservation ne peut être illimitée. Il vous faudra requérir une poursuite du consentement pour une durée identique à la durée initiale.

Sans un de ces motifs, il vous faudra supprimer les données personnelles.

Comment se mettre en conformité ?

Cette mise en conformité est assurée par la tenue d’un registre de traitement de données personnelles. Ce registre vous sera demandé en cas de contrôle par la CNIL. Ce document est placé sous la responsabilité du dirigeant d’entreprise. Comment s'y prendre pour constituer ce registre ?

Action 1 : faire un "état des lieux"

Pour ce faire, commencer par procéder à un état des lieux des traitements de vos données personnelles  en vue d’établir votre registre de traitement. Il existe des modèles de registre de traitement sur le site de la CNIL ou bien également des logiciels.
Faites des interviews en interne pour connaître et cartographier : 

  • Les données personnelles collectés
  • Le motif de collecte de de ces données
  • La preuve du consentement par la personne physique de la fourniture des données
  • Le processus de collecte (formulaire en ligne, mail, formulaire papier…)
  • Les traitements qui sont opérés sur ces données
  • Le temps de conservation des données
  • Le stockage de ces données
  • L’accès à ces données
  • La sécurisation de ces données
  • L’archivage de ces données
  • La suppression de ces données quand elles ne sont plus utiles

Vous devez faire ce travail sur tous les pans concernés de votre entreprise : RH, services administratifs, service marketing, service commercial, service de production….
Dès lors que dans une activité de l’entreprise, vous traitez de la donnée personnelle, il vous faudra effectuer ce travail de recensement.

Action 2 : Faites un tri, améliorer votre organisation au regard des dispositions du RGPD

Une fois ce travail fait, opérez un tri dans vos traitements. Supprimer les donnés inutiles par rapport à vos finalités.
Améliorer la sécurité des données si ce n’est pas le cas.

Etablissez des procédures de collecte et traitement des flux de données

Action 3 : respecter le droit des personnes 

Pour toute nouvelle collecte, vous devez informer précisément les personnes sur : 

  • L’objectif de la collecte
  • Le cadre qui vous autorise à procéder à cette collecte
  • Les destinataires de ces données
  • Les modalités d’exercice du droit d’accès, de modification, de suppression des données, par les personnes propriétaires de ces données
  • L’information et le fondement selon lesquels vous transférez des données hors de l’Union Européenne 
  • Et bien évidemment avoir une preuve de leur consentement éclairé sur ces points puisque c’est sur l’entreprise, responsable du traitement des données, que pèse la charge de la preuve.

Action 4 – Sécurisez vos données

Garantissez l’intégrité de votre patrimoine de données en minimisant les risques de pertes de données ou de piratage. Les mesures à prendre, informatiques ou physiques, dépendent de la sensibilité des données que vous traitez et des risques qui pèsent sur les personnes en cas d’incident. Différentes actions doivent être mises en place : mises à jour de vos antivirus et logiciels, changement régulier des mots de passe et utilisation de mots de passe complexes, ou chiffrement de vos données dans certaines situations. En cas de perte ou vol d’un outil informatique, il sera plus difficile pour un tiers d’y accéder.
Point important : il faut toujours penser en terme de risque pour les personnes dont vous détenez les données personnelles. Quelles seraient les conséquences si ces données étaient perdues, divulguées, modifiées à votre insu ?
Tenez un registre de failles de sécurité dans votre système d’informations.

Signalez à la CNIL les violations de données personnelles

Votre entreprise a subi une violation de données (des données personnelles ont été, de manière accidentelle ou illicite, détruites, perdues, altérées, divulguées ou vous avez constaté un accès non autorisé à des données) ? Vous devez la signaler à la CNIL dans les 72 heures si cette violation est susceptible de représenter un risque pour les droits et libertés des personnes concernées. Cette notification s’effectue en ligne sur le site internet de la CNIL. Si ces risques sont élevés pour ces personnes, vous devrez les en informer.


IMPORTANT : les données personnelles sont au coeur de votre modèle économique, vous mettez en place des services innovants, vous traitez des données sensibles ? Il sera nécessaire de réaliser une étude approfondie. Voir les ressources de la CNIL sur ce point plus bas dans cette page.

Les ressources pour aller plus loin dans l’analyse de votre situation.

Nous vous conseillons vivement de consulter les ressources disponibles sur le site de la CNIL, ressources très bien réalisées, compréhensibles, pragmatiques.

Avertissement : ce contenu a pour objectif de vous informer et ne peut en aucun cas se substituer à un conseil donné par un professionnel en fonction d'une situation particulière.

Crédits Photo by Samuel Zeller on Unsplash & by imgix on Unsplash