Actualités
Dossier RGPD - Partie 1/3 : Introduction au RGPD
3) Respectez les droits des personnes
Informez les personnes à chaque fois que vous collectez des données personnelles, sur le support de collecte utilisé (formulaire, questionnaire, etc.).
Vérifiez que l’information comporte notamment les éléments suivants :
4) Sécurisez vos données
02/04/2024 - 08:38
Dans cette lettre d’information, vous trouverez trois premières fiches pratiques qui vous aideront à mieux comprendre le Règlement Général sur la Protection des Données (RGPD) et la manière dont cette règlementation peut impacter votre entreprise.
La première fiche aborde une introduction au RGPD, la seconde explore les enjeux et les avantages pour un chef d’entreprise qui se conforme à ce règlement, tandis que la troisième fiche présente les étapes clés pour une mise en conformité progressive à la réglementation sur la protection des données personnelles.
1 - Vulgarisation des notions clés du RGPD
Le RGPD
Le règlement général sur la protection des données personnelles est entré en application le 25 mai 2018. Il harmonise les règles en Europe et permet aux professionnels de développer leurs activités numériques dans un cadre de confiance. Il met fin à la distorsion de concurrence entre entreprises en imposant les mêmes obligations aux entreprises établies hors de l’Union européenne, visant des résidents européens. Il n’y a pas d’exception à ces obligations pour les PME françaises mais l’approche du RGPD est fondée sur la notion de gestion de risques, offrant ainsi des marges de manoeuvre.
Une donnée personnelles
Toute information se rapportant à une personne physique identifiée ou identifiable, directement (nom, prénom…) ou indirectement (un identifiant (n° client), un numéro (de téléphone, de sécurité sociale), la voix ou l’image…). L’identification d’une personne physique peut être réalisée à partir d’une seule donnée ou du croisement d’un ensemble de données.
Exemples : Des coordonnées d’entreprises (par exemple, entreprise « Compagnie A » avec son adresse postale, le numéro de téléphone de son standard et un email de contact générique
« compagnieA@email.fr ») ne sont pas des données personnelles. Une base marketing contenant la localisation, l’âge, les goûts et les comportements d’achats de consommateurs sans noms sera soumise au RGPD s’il est possible de remonter à une personne physique déterminée en se basant sur ces informations.
Un traitement de données personnelles
Une ou plusieurs opérations telles que la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation, la modification, l’extraction, la consultation, l’utilisation, la communication. Les fichiers papiers sont également concernés et doivent être protégés dans les mêmes conditions.
Exemples : Tenue d’un fichier de clients personnes physiques, collecte de coordonnées de prospects via un questionnaire,
mise à jour d’un fichier de fournisseurs.
Le responsable de traitement
La personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement.
Exemple : TPE mettant en oeuvre un fichier relatif à la gestion des ressources humaines (paie) et à la gestion de sa base
prospects et clients.
Le sous-traitant
La personne physique ou morale qui traite des données personnelles sur instructions et pour le compte d’un responsable de traitement, dans le cadre d’un service ou d’une prestation.
Exemple : Entreprises de Services Numériques tels qu’intégrateurs de logiciels, hébergeurs de données.
Les données sensibles
Les données révélant l’origine prétendument raciale ou ethnique ; portant sur les opinions politiques, philosophiques ou religieuses ; relatives à l’appartenance syndicale ; concernant la santé ou l’orientation sexuelle ; génétiques ou biométriques, nécessitent une vigilance particulière, comme les données d’infraction ou de condamnation pénale.
Les transferts de données
Les transferts de données en dehors de l’Union européenne doivent faire l’objet de vérifications : le pays vers lequel les données sont transférées doit disposer d’une loi de protection des données reconnue adéquate par la Commission européenne. Une carte du monde présentant les législations de protection des données est à votre disposition sur le site de la CNIL. Sinon, des garanties spécifiques doivent être prévues.
Le consentement
Le consentement est une des bases légales prévues par le RGPD pour autoriser un traitement de données, telle que par exemple la prospection commerciale par voie électronique. Il est donc l’un des moyens de rendre un traitement licite, tout comme le sont par ailleurs et notamment le contrat ou l’intérêt légitime.
2 - les enjeux et avantages pour un chef d’entreprise de se mettre en conformité
Les enjeux sont nombreux. Le RGPD est indissociable de tout projet de numérisation de votre société et mieux vaut y penser avant la mise en place des nouveaux traitements que d’attendre les plaintes de vos clients ou prospects pour non respect de leurs droits, une dénonciation à la Cnil par un concurrent, un contrôle ou une sanction pécuniaire.
LES AVANTAGES SONT MULTIPLES
Il s’agit d’une obligation légale pour tous (entreprises, associations, professions libérales) mais aussi d’une opportunité économique qui vous permettra de :
Renforcer la confiance
Avec toutes les personnes qui vous confient leurs données personnelles, vous font confiance y compris pour le respect de leurs droits d’accès, de rectification, d’effacement, d’opposition, etc. Respecter ces droits contribue à valoriser votre image d’entreprise sérieuse et responsable. Une opportunité de sceller une relation de confiance avec vos interlocuteurs et d’améliorer votre image de marque !
Améliorer votre efficacité commerciale et opérationnelle
Vos fichiers concernant vos clients et prospects doivent vous permettre de prospecter, mieux connaître vos clients, gérer la facturation. En respectant le RGPD, vous les maintenez à jour. Finis les fichiers Excel éparpillés ou non à jour !
Rassurer vos clients et donneurs d’ordre et ainsi développer votre activité
Si vous respectez le RGPD, vous aurez un avantage concurrentiel à faire valoir dans les appels d’offre !
Améliorer la sécurité des données de votre entreprise
La cybercriminalité, comme les fuites de données en interne, touchent de plus en plus de petites entreprises, moins sécurisées que
les grandes. Vous protégez le nom de votre PME ou son logo, et de la même façon, vous devez protéger votre patrimoine informationnel et les personnes concernées des atteintes à leurs données.
Mieux gérer votre entreprise
L’application du RGPD est l’occasion de se poser les bonnes questions sur son activité et ses process, comme c’est le cas pour le passage du papier à la dématérialisation.
Créer de nouveaux services
Vous aurez ainsi la possibilité d’améliorer la qualité des données personnelles stratégiques que vous gérez qui sont trop souvent délaissées alors qu’elles constituent un actif important lors de la reprise de l’entreprise.
3 - Les étapes clés d’une mise en conformité à la réglementation relative à la protection des données personnelles graduée
1) Recensez vos données et créez votre registre des traitements
Identifiez les activités principales de votre entreprise qui nécessitent la collecte et le traitement de données personnelles. Ex. gestion du recrutement, gestion du site internet, gestion des clients prospects, gestion des fournisseurs etc. Créer votre registre avec une fiche pour chaque activité recensée pour avoir une vision d’ensemble. Pour plus de détail sur le contenu du registre : voir modèles de registres proposés par la CNIL sur son site internet
2) Faites le tri dans vos données
Pour chaque fiche de registre créée, vérifiez :
La première fiche aborde une introduction au RGPD, la seconde explore les enjeux et les avantages pour un chef d’entreprise qui se conforme à ce règlement, tandis que la troisième fiche présente les étapes clés pour une mise en conformité progressive à la réglementation sur la protection des données personnelles.
1 - Vulgarisation des notions clés du RGPD
Le RGPD
Le règlement général sur la protection des données personnelles est entré en application le 25 mai 2018. Il harmonise les règles en Europe et permet aux professionnels de développer leurs activités numériques dans un cadre de confiance. Il met fin à la distorsion de concurrence entre entreprises en imposant les mêmes obligations aux entreprises établies hors de l’Union européenne, visant des résidents européens. Il n’y a pas d’exception à ces obligations pour les PME françaises mais l’approche du RGPD est fondée sur la notion de gestion de risques, offrant ainsi des marges de manoeuvre.
Une donnée personnelles
Toute information se rapportant à une personne physique identifiée ou identifiable, directement (nom, prénom…) ou indirectement (un identifiant (n° client), un numéro (de téléphone, de sécurité sociale), la voix ou l’image…). L’identification d’une personne physique peut être réalisée à partir d’une seule donnée ou du croisement d’un ensemble de données.
Exemples : Des coordonnées d’entreprises (par exemple, entreprise « Compagnie A » avec son adresse postale, le numéro de téléphone de son standard et un email de contact générique
« compagnieA@email.fr ») ne sont pas des données personnelles. Une base marketing contenant la localisation, l’âge, les goûts et les comportements d’achats de consommateurs sans noms sera soumise au RGPD s’il est possible de remonter à une personne physique déterminée en se basant sur ces informations.
Un traitement de données personnelles
Une ou plusieurs opérations telles que la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation, la modification, l’extraction, la consultation, l’utilisation, la communication. Les fichiers papiers sont également concernés et doivent être protégés dans les mêmes conditions.
Exemples : Tenue d’un fichier de clients personnes physiques, collecte de coordonnées de prospects via un questionnaire,
mise à jour d’un fichier de fournisseurs.
Le responsable de traitement
La personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement.
Exemple : TPE mettant en oeuvre un fichier relatif à la gestion des ressources humaines (paie) et à la gestion de sa base
prospects et clients.
Le sous-traitant
La personne physique ou morale qui traite des données personnelles sur instructions et pour le compte d’un responsable de traitement, dans le cadre d’un service ou d’une prestation.
Exemple : Entreprises de Services Numériques tels qu’intégrateurs de logiciels, hébergeurs de données.
Les données sensibles
Les données révélant l’origine prétendument raciale ou ethnique ; portant sur les opinions politiques, philosophiques ou religieuses ; relatives à l’appartenance syndicale ; concernant la santé ou l’orientation sexuelle ; génétiques ou biométriques, nécessitent une vigilance particulière, comme les données d’infraction ou de condamnation pénale.
Les transferts de données
Les transferts de données en dehors de l’Union européenne doivent faire l’objet de vérifications : le pays vers lequel les données sont transférées doit disposer d’une loi de protection des données reconnue adéquate par la Commission européenne. Une carte du monde présentant les législations de protection des données est à votre disposition sur le site de la CNIL. Sinon, des garanties spécifiques doivent être prévues.
Le consentement
Le consentement est une des bases légales prévues par le RGPD pour autoriser un traitement de données, telle que par exemple la prospection commerciale par voie électronique. Il est donc l’un des moyens de rendre un traitement licite, tout comme le sont par ailleurs et notamment le contrat ou l’intérêt légitime.
2 - les enjeux et avantages pour un chef d’entreprise de se mettre en conformité
Les enjeux sont nombreux. Le RGPD est indissociable de tout projet de numérisation de votre société et mieux vaut y penser avant la mise en place des nouveaux traitements que d’attendre les plaintes de vos clients ou prospects pour non respect de leurs droits, une dénonciation à la Cnil par un concurrent, un contrôle ou une sanction pécuniaire.
LES AVANTAGES SONT MULTIPLES
Il s’agit d’une obligation légale pour tous (entreprises, associations, professions libérales) mais aussi d’une opportunité économique qui vous permettra de :
Renforcer la confiance
Avec toutes les personnes qui vous confient leurs données personnelles, vous font confiance y compris pour le respect de leurs droits d’accès, de rectification, d’effacement, d’opposition, etc. Respecter ces droits contribue à valoriser votre image d’entreprise sérieuse et responsable. Une opportunité de sceller une relation de confiance avec vos interlocuteurs et d’améliorer votre image de marque !
Améliorer votre efficacité commerciale et opérationnelle
Vos fichiers concernant vos clients et prospects doivent vous permettre de prospecter, mieux connaître vos clients, gérer la facturation. En respectant le RGPD, vous les maintenez à jour. Finis les fichiers Excel éparpillés ou non à jour !
Rassurer vos clients et donneurs d’ordre et ainsi développer votre activité
Si vous respectez le RGPD, vous aurez un avantage concurrentiel à faire valoir dans les appels d’offre !
Améliorer la sécurité des données de votre entreprise
La cybercriminalité, comme les fuites de données en interne, touchent de plus en plus de petites entreprises, moins sécurisées que
les grandes. Vous protégez le nom de votre PME ou son logo, et de la même façon, vous devez protéger votre patrimoine informationnel et les personnes concernées des atteintes à leurs données.
Mieux gérer votre entreprise
L’application du RGPD est l’occasion de se poser les bonnes questions sur son activité et ses process, comme c’est le cas pour le passage du papier à la dématérialisation.
Créer de nouveaux services
Vous aurez ainsi la possibilité d’améliorer la qualité des données personnelles stratégiques que vous gérez qui sont trop souvent délaissées alors qu’elles constituent un actif important lors de la reprise de l’entreprise.
3 - Les étapes clés d’une mise en conformité à la réglementation relative à la protection des données personnelles graduée
1) Recensez vos données et créez votre registre des traitements
Identifiez les activités principales de votre entreprise qui nécessitent la collecte et le traitement de données personnelles. Ex. gestion du recrutement, gestion du site internet, gestion des clients prospects, gestion des fournisseurs etc. Créer votre registre avec une fiche pour chaque activité recensée pour avoir une vision d’ensemble. Pour plus de détail sur le contenu du registre : voir modèles de registres proposés par la CNIL sur son site internet
2) Faites le tri dans vos données
Pour chaque fiche de registre créée, vérifiez :
- que les données traitées sont nécessaires à vos activités (par ex. il n’est pas utile de connaître la date de naissance de vos prospects) ;
- que les données sont uniquement accessibles aux personnes habilitées et qui en ont besoin (par ex. l’accès aux données de vos salariés est limité au responsable RH) ;
- que vous ne conservez pas vos données au-delà de ce qui est nécessaire.
3) Respectez les droits des personnes
Informez les personnes à chaque fois que vous collectez des données personnelles, sur le support de collecte utilisé (formulaire, questionnaire, etc.).
Vérifiez que l’information comporte notamment les éléments suivants :
- identité de l’entité légale responsable de traitement ;
- pourquoi vous collectez les données (« la finalité » ; par exemple pour gérer l’achat en ligne du consommateur) ;
- ce qui vous autorise à traiter ces données (« base légale » du traitement) ;
- qui a accès aux données (services internes compétents, un prestataire, etc.) ;
- combien de temps vous les conservez (exemple : « 5 ans après la fin de la relation contractuelle ») ;
- quels sont les droits des personnes concernées et comment les exercer.
4) Sécurisez vos données
Garantissez l’intégrité de votre patrimoine de données en minimisant les risques de pertes de données, vol, divulgation ou piratage. Les mesures à prendre, informatiques ou physiques, dépendent de la sensibilité des données que vous traitez et des risques qui pèsent sur les personnes en cas d’incident.
© AdobeStock
