Entrée en vigueur le 25 mai 2018, la réglementation européenne des données personnelles est au cœur de l’actualité. Elle est destinée à répondre définitivement au problème de stockage massif des données personnelles d’un internaute. Le but est de lui permettre de prendre ou reprendre le contrôle de ses données. À travers cet article, nous apportons réponses à toutes vos questions.

Sommaire

infographie-rgpd-tamento cta-quick-guide-rgpd

Qu’est-ce que le RGPD ?

Le Règlement Général sur la Protection des Données (RGPD) ou GDPR (general data protection regulation) est le nouveau règlement européen concernant la protection des données à caractères personnelles. Cette réglementation s’impose à toutes entreprises appartenant à l’Union Européenne amenées à traiter des données personnelles. Cette réglementation s’applique aussi à toutes entités hors de l’Union Européenne dès lors qu’elles stockent, collectent ou utilisent les données personnelles d’un citoyen européen. Cette réglementation européenne concernant la protection des données impose de nouvelles exigences et obligations. Cela impacte considérablement la gestion des informations personnelles relatives aux clients et aux employés.

À quoi sert le RGPD et quels sont ses objectifs ?

La RGPD sert à réglementer et protéger l’utilisation abusive et malveillante de nos données personnelles. L’État a donc décidé d’offrir au citoyen européen, une meilleure protection des données contre toutes utilisations malveillantes ou abusives. Cette profonde transformation beaucoup plus stricte a pour objectif d’harmoniser la juridiction européenne en matière de protection des données. Elle permet d’instaurer un texte de référence dans l’UE. Là où le Big Data et l’intelligence artificielle prennent de plus en plus d’importance, cette réglementation permet aux citoyens européens de prendre ou de reprendre le contrôle sur leurs données personnelles.

Pour résumer, le RGPD a pour but :

  • De limiter la collecte abusive des données personnelles ou récoltées sans le consentement de l’internaute
  • D’améliorer la sécurité et la protection des données récoltées
  • D’harmoniser le cadre juridique des États membres de L’Union Européenne
  • De responsabiliser toutes personnes ayant accès à des données personnelles

Comment le RGPD met en cause la conservation des documents ?

De nombreux logiciels (Analytics, MailChimp, Excel…) permettent de collecter puis d’analyser facilement les données d’un internaute sans même qu’il n’en prenne conscience. Il ne faut pas se méprendre, des données numériques ne se stockent pas, elles s’utilisent et servent à améliorer l’expérience utilisateur mais aussi à communiquer, informer et proposer des publicités ciblées. Désormais le RGPD fixe des limites concernant la conservation des données personnelles, le but étant que ces informations ne soient pas « archivées » indéfiniment. Aussi, un consommateur est dans le droit de demander la suppression totale de ses données. Qu’il s’agisse de données commerciales ou de données de facturation récoltées, l’organisme ayant récolté et enregistré ces données est dans l’obligation légale de les supprimer. Depuis l’entrée en vigueur de la RGPD, on parle de politique de conservation et de destruction des données. En effet, la RGPD délimite depuis la conservation légale de ces données à 3 ans concernant des données commerciales/marketing et 6 ans pour des données de facturation. Il n’y a pas seulement la suppression des données qui entre en compte. Cette nouvelle réforme ouvre de nouveaux droits pour les citoyens européens. Ils peuvent à présent obtenir le droit à la consultation de leurs données sur le web. On peut citer Facebook ou Twitter qui permettent à l’internaute de récupérer la totalité des archives stockées sur leur plateforme.

Qu’est-ce qu’une donnée à caractère personnel ?

D’après la réglementation, une donnée personnelle doit permettre d’identifier directement ou indirectement une personne physique. Il faut savoir que la réglementation générale de protection des données couvre tous types de données personnelles, sensibles ou non. On appelle données sensibles des informations relatives à l’origine raciale ou ethnique, aux opinions politiques, philosophiques ou religieuses, à l’appartenance syndicale, à la santé ou à la vie sexuelle. Légalement, les données sensibles ne peuvent pas être recueillies et exploitées sans le consentement explicite des personnes. Le RGPD inclus, en plus, dans le terme “données personnelles”, les données de localisation, les adresse IP, les cookies et les données génétiques et biométriques. Il est donc important pour votre entreprise de recenser les données stockées et partagées qui peuvent identifier une personne physique.

Comment intégrer efficacement le RGPD dans les normes françaises ?

Afin de se conformer au RGPD, identifiez les données personnelles archivées et utilisées pour mesurer l’impact du règlement général de la protection des données sur votre activité. Quelles sont vos méthodes de gestion ? À quelles fins commerciales sont-elles utilisées ? Avez-vous le droit de prospecter à l’aide de ces données ? Depuis le 25 mai, vous devez vous poser toutes ces questions avant d’utiliser de quelconque  données en votre possession. La RGPD vous impose une obligation de transparence et de traçabilité. Elle s’applique aux prestataires et désormais à ses sous-traitants. Il est donc essentiel de contrôler la gestion et l’utilisation des données personnelles de votre entreprise et de vos contribuables afin de garantir la sécurité des données. Pour éviter tout abus d’utilisation, pensez à délivrer une clause de confidentialité à vos collaborateurs qui ont accès et manient des données personnelles.

Qui est concerné par le RGPD et à qui s’applique-t-il ?

Comme précisé en ce début d’article, cette réglementation s’applique à toutes entreprises (quelle que soit leur taille et secteur) ainsi qu’à ses sous-traitants qui exploitent de quelconque manière, les données personnelles d’un citoyen européen. Les sous-traitants ont à présent la responsabilité de respecter des obligations propres à ce nouveau règlement. Ils ont notamment une obligation de conseil auprès du responsable de traitement et doivent l’aider à respecter la réglementation. Ils ont aussi le devoir d’assurer la sécurité des données qui leur sont confiées. Toutes entreprises hors Union Européenne traitant avec l’UE sont aussi concernées par cette réglementation. On peut citer en exemple les multinationales américaines qui doivent revoir leur politique de confidentialité des données. Certaines d’entres elles, comme Microsoft choisissent même d’appliquer le RGPD partout dans le monde. Le travail de mise en conformité d’une entreprise à la RGPD peut être différent en fonction du type de données (sensibilité, volume, impact sur le chiffre d’affaires…), de son activité et de la taille de l’entreprise. Par exemple, une multinationale avec une grosse quantité de données aura d’importantes obligations de gestion, de suivi et d’organisation qui impliquent une réelle réorganisation interne. À l’inverse, une TPE traitant peu de données devra effectuer un travail de sécurisation des données plus simple à mettre en place.

Le RGPD s’applique à vous si vous êtes :

  • Commercial
  • Artisan
  • Développeurs d’applications sur des données à caractère personnel
  • Salariés
  • Une commune
  • Un particulier
  • Une entreprise de toute forme juridique
  • Une collectivité
  • Responsable des ressources humaines
  • Une association
  • Dirigeant d’entreprise
  • Responsable de la sécurité de systèmes d’information
  • Services publics

Que va changer le RGPD ?

Vous l’aurez compris, cette nouvelle réglementation européenne implique de nombreux changements pour les entreprises en matière de traitement des données à caractère personnel. Elles doivent notamment faire preuve de transparence quant à leur utilisation. Si vous souhaitez d’ailleurs en savoir plus sur ce que ces changements impliquent de manière pratique, nous avons compilé dans un guide gratuit les 6 étapes à prendre en compte pour votre site web. Ce règlement a été adopté pour renforcer la sécurité des données et non pas pour blâmer les entreprises. Le respect de la vie privée de l’internaute doit être pris en compte dès la conception d’une base de données, d’une application ou d’un système d’information. Il doit être informé de l’usage potentiel qui sera fait de ses données fournies. Chaque entreprise  traitant des données sensibles quelle que soit sa taille, doit obligatoirement désigner un DPO (Data Protection Officer) qui fait office de délégué à la protection des données au sein de son organisation.

Les missions du DPO :

  • Veiller au respect du RGPD
  • Informer son organisme et ses employés
  • Conseiller son entreprise sur la réalisation de l’étude d’impact sur la protection des données
  • Être le médiateur auprès de la CNIL
Autre grand changement, l’arrivée de RGPD simplifie les démarches à effectuer auprès de la CNIL. En contrepartie, la responsabilité des entreprises est renforcée. Vous l’aurez compris, chaque organisme doit assurer une protection optimale des données et doit être en mesure de la démontrer.

Les changements pour les professionnels du marketing :

Ces changements importants impactent la façon dont les données de leads et clients sont récoltées puis gérées. Les stratégies marketing doivent donc être revues et adaptées à la réglementation.

Les changements pour les industriels français :

Grâce aux nouvelles technologies, la donnée se retrouve au centre de la productivité industrielle. Les techniques d’acquisition de données (badges RFID, la géolocalisation des véhicules…) permettent de mieux comprendre les clients en récoltant de nombreuses informations. Par exemple, le secteur des transports qui récolte de nombreuses données pour améliorer l’expérience utilisateur est l’un des domaines les plus impacté. Le secteur de la santé est lui aussi touché par cette nouvelle réglementation. Les technologies avancées (CRM, produit connectés…) sont remises en cause et doivent être utilisées avec précaution lorsqu’elles touchent à la vie privée et aux droits des individus.

Les changements pour les particuliers :

Le RGPD ne s’applique pas si la collecte d’informations se passe dans un cadre personnel. En revanche si on souhaite tirer profits de ces informations (partenariats, bannières publicitaires, vente de données), dans ce cas le RGPD s’applique. Cette réglementation s’impose dans le cadre professionnel même si la personne concernée ne perçoit aucun bénéfice (comme un blog professionnel).

Que faire en cas de contrôle RGPD ?

En cas de contrôle, votre entreprise devra fournir les documents nécessaires afin de faire valoir les éléments mis en oeuvre pour respecter le RGPD. Voici les procédures et des actions à mettre en place pour prouver que vous respectez les normes de la RGPD.
  • Les mentions explicatives présentes sur votre site internet sont nécessaires pour informer l’utilisateur de l’utilisation de ses données récoltées
  • Le formulaire de contact doit être adapté au RGPD pour que les internautes puissent facilement récupérer leurs données s’ils le souhaitent
  • Un registre des traitements des données certifie que vous avez pris connaissance des règles de la RGPD et que vous les appliquez
  • Les clauses avec les sous-traitants doivent être modifiées pour être conforme. Pour rappel, vos sous-traitants ont désormais la même responsabilité que votre entreprise concernant la protection des données à caractère personnel
En cas de contrôle RGPD, le plus important est d’avoir mis en place de multiples actions qui prouvent par une documentation écrite que l’organisme assure une protection des données en continu. On appelle ça « l’accountability ». C’est l’obligation de rendre compte, en français. Cela revient à montrer les actions mises en place. En cas de problème, n’hésitez pas à vous référer à la CNIL.

Quelles sont les sanctions administratives, pénales et judiciaires en cas de non-respect au RGPD ?

 

Sanctions administratives :

Il faut sensibiliser dès maintenant toutes personnes amenées à manipuler des données personnelles. Les sanctions encourues peuvent atteindre 20 millions d’euros en cas de graves infractions concernant le droit des personnes ou 2 à 4% du chiffre d’affaires mondial annuel. En plus de cette perte d’argent non négligeable, un organisme non conforme au RGPD peut engendrer une perte de confiance de la part de ses clients et par conséquent une image de marque détériorée.

Sanctions pénales :

Les sanctions pénales en cas de non-respect des règles de protection des données sont réprimées par les articles 226-16 à 226-24 du code pénal. Elles peuvent aller de 1500 € d’amende en cas de non-respect des droits des personnes et jusqu’à 300 000 € d’amendes et 5 ans d’emprisonnement pour un détournement de données personnelles.

Comment vérifier que vous êtes conforme au RGPD ?

Professionnels du marketing, nous avons à coeur de vous informer sur les nouvelles contraintes et bien entendu de vous aider à vous mettre en conformité. Nos experts vous donnent quelques conseils pour vous accompagner dans la conformité de cette nouvelle réglementation. Voici les procédures et actions à mettre en place pour respecter les règles de la RGPD.
  1. Identifiez les données personnelles de vos bases de données à l’aide d’un audit
  2. Sécurisez votre base de donnée en vérifiant que chaque personne ait consentie à donner et archiver ses données
  3. Créer un inventaire pour connaître la provenance de vos contacts présents dans votre base de données
  4. Formez votre entreprise, en interne, aux exigences de la réglementation
  5. Informer publiquement vos internautes d’une pratique de collecte de données
  6. Appeler un avocat ou  un consultant pour obtenir diverses informations juridiques concernant votre activité
cta-quick-guide-rgpd Vous pouvez télécharger notre ebook qui détaille la démarche à mettre en place sur votre site web pour atteindre la conformité RGPD.