RGPD : Informations sur la Directive Européenne

RGPD : Informations sur la Directive Européenne

Définition du RGPD

Le règlement européen sur la protection des données personnelles (RGPD) entre en vigueur à partir du 25 mai 2018. On le sait depuis 2016, le Parlement et Conseil Européen ont lancé une campagne visant à protéger les données à caractère personnel et à en faire un droit fondamental du numérique.

On définit les données à caractère personnel (également appelées DCP) toutes les informations permettant d’identifier directement ou indirectement un individu comme un numéro de dossier (indirect) ou un nom et un prénom (direct). Il existe plusieurs degrés de sensibilité de ces données personnels. En effet, les données à caractère personnel sensibles représentent des informations permettant de connaître l’individu personnellement, cela peut être un casier judiciaire, des opinions politiques ou religieuses ou encore des données relatives à la santé. Les données sensibles nécessitent logiquement plus de protection que les autres d’après le règlement européen sur la protection des données personnelles.

Le RGPD vise à compléter la loi “Informatique et Libertés” qui donnait des directives quant à la manière de récolter, traiter et conserver des données personnels. Le RGPD met en valeur plusieurs grands principes qui sont la transparence, la sécurité et l’accès aux données.

Cadenas - Padlock sur le site de Geoffrey Lopez

I – Quelle est la finalité de la protection des données à caractère personnel ?

La protection des données à caractère personnel vise à respecter le droit à la vie privée de chaque individu. Par ailleurs, l’objectif est d’organiser la récolte, le traitement et la conservation des données personnelles afin de sensibiliser les entreprises en leur appliquant des sanctions en cas de non-respect des principes du respect de la vie privée. En d’autres mots, le règlement européen forcera toutes les entreprises manipulant des données liées à la clientèle à sécuriser leurs outils numériques.

Le RGPD donnera le droit aux citoyens d’avoir accès à leurs données pour leur donner un contrôle : c’est à dire que les individus pourront être en mesure de modifier leurs données mais ont également le droit de demander la suppression d’un compte client. Un citoyen pourra alors se défendre en justice lorsqu’il estime qu’une entreprise ont une utilisation abusive de ses données personnelles.

Les entreprises sont conviées à ne traiter et conserver uniquement les données nécessaires à une prestation. Si le nom d’un client n’est pas absolument nécessaire, mieux vaut utiliser un pseudo. Cela permet de ne pas lier directement des données personnelles avec une personne physique. Les entreprises doivent garantir l’intégrité et la confidentialité des données.

checklist sur le site de Geoffrey Lopez

II – Que dois-je mettre en place avant mai 2018 pour être en conformité avec le règlement RGPD ?

Pour vous aider à mieux comprendre le RGPD, voici une liste non-exhaustive de quelques principes de la protection des données :

Consentement explicite et positif du recueil des données

Pour toutes les données récoltées, vous devez avoir une autorisation explicite de votre client ou internaute. Cela peut prendre la forme d’une case à cocher (comme le double opt-in pour une newsletter). Attention ! Le client doit cocher la case pour s’inscrire à la newsletter et non pas l’inverse. Il ne doit pas décocher la case pour s’y désinscrire.

Acceptation implicite des cookies (bandeau d’informations)

Aujourd’hui, la majorité des sites web et plus particulièrement e-commerce utilise des cookies. Vous devez le communiquer à vos clients et ces derniers doivent l’accepter. Vous êtes également invité à créer une page d’explications sur votre site internet que vos internautes pourront visiter.

Exemple de bandeau d'utilisation des cookies - règlementation RGPD sur le site de Geoffrey Lopez

Transparence sur la manière dont sont collectés et traités les données personnelles

L’idée est d’expliquer en quoi avez-vous besoin de ces données. Si vous êtes une société e-commerce, alors vous devez expliquer que les données sont utilisés exclusivement pour l’envoi de marchandise et pour assurer le bon déroulement d’une commande. Rassurez également vos clients en expliquant comment sont sécurisés leurs données sur une page dédiée (attention cependant à ne pas dévoiler trop d’informations sur votre système d’information).

Droit à l’accès et à la récupération des informations

Vos clients doivent pouvoir avoir accès à leurs données personnelles. Cela peut se traduire par l’interface d’un compte client sur un site commercial par exemple. Le client devra également pouvoir récupérer ses informations dans un fichier exploitable (notamment s’il veut pouvoir changer de prestataire facilement).

Obligation de tenir un registre des traitement des données

La conformité avec le RGPD se démontre par l’obligation de tenir un registre que la CNIL peut demander en cas de contrôle. Ce registre permettra de tenir à jour une base des données des traitements. Il pourra également servir à l’entreprise pour suivre sa mise en conformité avec le règlement européen des DCP.

Encadrement des sous-traitants

Vos prestataires doivent également veiller à ne perdre aucune information concernant vos clients. Si un fichier client se fait voler chez votre sous-traitant, vous y serez tenu responsable. Vous pouvez demander le registre des traitements de données à votre prestataire afin de veiller à ce qu’il soit bien en conformité avec le RGPD.

Prévenir la CNIL en cas de viol des données dans les 72h et les personnes titulaires des données à caractère personnel

Il s’agit ici de prévenir une autorité ainsi que vos clients qui vous ont fait confiance. Vous leurs devez la vérité. Prévenez-les alors que leurs données ont été volées. Ils pourront être compréhensifs notamment sur un site e-commerce si les coordonnées bancaires ont été volées. Prévenez-les au plus tôt, ils pourront faire opposition sur leur carte bancaire au plus vite.

Logo de la CNIL - Loi RGPD sur le site de Geoffrey Lopez

Délégué à la protection des données (DPO)

Certaines entreprises seront dans l’obligation de nommer un DPO (Délégué à la protection des données) qui devra veiller à la conformité des traitements des données à caractère personnel à le RGPD. Il doit être nommé avant date d’application du règlement européen, soit le 25 mai 2018. Les entreprises concernées sont surtout celles qui traitent et conservent des données personnels sensibles ou les autorité ou organisme publique. Le DPO peut être externe à l’entreprise.

barres de progression sur le site de Geoffrey lopez

III – Où puis-je me former à le RGPD ?

Je souhaite vous informer certains sites qui pourraient vous être d’une grande utilité dans votre projet de mise en conformité à le RGPD.

Le MEDEF a créé son outil diagnostic destiné aux entreprises. L’outil accompagnera votre entreprise dans son projet de mise en conformité de la protection des données à caractère personnel. Lien : Protection des données – MEDEF

Vous trouverez ci-joint le texte officiel de la loi RGPD du parlement et conseil européen. Vous y trouverez ainsi toutes les informations concernant la protection des données personnelles. Règlement européen officiel

Enfin, En ce qui concerne la formation à proprement parler, vous pouvez trouver des prestataires sur internet qui pourront vous proposer des formations, des devis et des audits pour vous mettre en conformité avec la loi RGPD.

Que faut-il conclure sur le RGPD ?

Ainsi, n’attendez plus pour vous mettre en conformité avec le règlement européen qui est le RGPD. Les entreprises qui ne respectent pas les principes de la protection des données à caractère personnel risquent une amende comprise entre 2 et 4% du chiffre d’affaire mondial. Vous devez alors sécuriser les données de vos clients à tout prix et ne pas les exploiter sans leurs autorisations.

N’hésitez pas à me contacter par commentaire ou bien directement par la page contact. Je répondrai à toutes vos interrogations.

Partagez avec vos amis !

Geoffrey Lopez

Geoffrey Lopez est un Web Developer spécialisé dans le commerce électronique. Actuellement apprenti à la Compagnie du Bicarbonate et étudiant en Master Cloud Computing & Mobility, Geoffrey souhaite par la suite devenir directeur e-commerce.

Laisser un commentaire