RGPD : mettez-vous rapidement en conformité
Image auteur de l'article
par Corentin Galy Consultant SEO chez YABAWT

Le RGPD : 6 commandements à suivre pour se mettre à niveau

Dans cet article dédié au Règlement général sur la protection des données, plus communément appelé RGPD, nous vous présenterons 6 commandements qui vous permettront de vous mettre rapidement en conformité avec ce dernier. Vous pourrez ainsi éviter d’éventuelles sanctions de la part des organismes chargés de faire respecter ce règlement.

RGPD

Le RGPD qu’est-ce que c’est ?

Le RGPD ou Règlement général sur la protection des données est un texte de loi (entré en application le 25 mai 2018) prévoyant d’encadrer le traitement des données personnelles sur l’ensemble des territoires de l’Union Européenne.

Ce règlement vient compléter la Loi Française Informatique et Libertés de 1978 avec pour objectif de renforcer le droit des citoyens en ce qui concerne l’utilisation de leurs données à caractère personnel tout en responsabilisant les acteurs amenés à gérer ces données.

Le RGPD : êtes-vous concernés ?

Le RGPD concerne toutes les entités publiques ou privées qui sont amenées à effectuer du traitement de données personnelles dans l’Union Européenne (UE).

Avertissements :

  • Les petites organisations ne sont pas exemptées : peu importe le nombre de personnes constituant votre entité, vous êtes concernés si vous êtes amenés à manipuler des données personnelles (1 personne seule peut être concernée).
  • Le RGPD concerne les entités installées dans l’UE traitant des données personnelles hors UE : votre entreprise est basée en France et vend sur internet des produits à des particuliers en Australie, vous êtes concernés par le RGPD et devez en respecter ses articles.
  • Le RGPD concerne les entités installées hors UE traitant des données personnelles dans l’UE : votre entreprise est basée à New-York et vend sur internet des produits à des particuliers en France, vous devez respecter le Règlement Général sur la Protection des Données.
  • Le RGPD concerne les partenaires et sous-traitants : vous traitez de la donnée personnelle pour le compte d’entités tierces, vous avez des obligations spécifiques à respecter quant à la manipulation de ces données et donc, vous devez vous mettre en conformité avec le RGPD.

Qu’est-ce qu’une donnée personnelle ?

Une donnée personnelle se définit comme toute information concernant une personne identifiée ou permettant de rendre une personne identifiable.

(Exemple : nom, prénom, numéro de téléphone, photo, adresse IP, etc…)

Avertissement :

  • S’il est possible par regroupement d’informations d’identifier précisément une personne, l’intégralité des données concernées seront considérées comme des données à caractère personnel.
Nous vous accompagnons dans la mise en place de vos stratégies digitales
01

Nommez un responsable du traitement des données (DPO)

Le RGPD depuis son entrée en vigueur oblige toutes les entités traitant de la donnée personnelle à se mettre rapidement en conformité.

Pour vous accompagner, nous vous conseillons vivement de faire appel à un expert du sujet qui officiera à vos côtés en tant que Délégué à la Protection des données (DPO).

Qu’est-ce qu’un DPO ?

Un DPO ou « Data Protection Officer » est une personne physique ou morale, chargée de la mise en application du RGPD dans l’entité qui l’a désignée pour occuper ce poste.

Qui peut devenir DPO ?

Le Délégué à la protection des données peut être un membre de l’organisation (salarié, membre d’une association) ou un prestataire externe n’ayant aucun lien avec l’organisation. Le DPO devra posséder des compétences en droit de la protection des données et devra avoir une excellente approche du secteur d’activité et des services proposés par l’entité.

Quelles sont les missions du DPO ?

Les missions du DPO sont :

  • De former et d’accompagner le responsable du traitement des données de l’entité.
  • De veiller au respect du règlement par tous les membres de l’organisation pour laquelle il officie.
  • De servir d’interlocuteur privilégié entre l’entreprise et les organismes chargés du contrôle de l’application du RGPD.

Entre autre, le DPO devra s’assurer de mettre à disposition de l’entité les connaissances et les moyens pour respecter le RGPD et il devra s’assurer que cette entité respecte parfaitement le règlement.

Dans quels cas est-ce obligatoire ?

Désigner un DPO est obligatoire dans plusieurs cas de figure :

  • Votre entité est un organisme public
  • Votre entité est une entreprise dont l’activité amène à réaliser un suivi à « grande échelle » de données personnelles.
  • Votre entité est amenée à traiter des « données sensibles ».

(Il est difficile de déterminer à partir de quel moment notre traitement de données est considéré comme étant « à grande échelle » et quelles données sont considérées comme « sensibles »).

Même si vous ne rentrez pas dans un des critères ci-dessus, nous vous conseillons vivement de désigner un Délégué à la Protection des Données pour votre organisation.

En contrepartie, vous devrez vous assurer que vous avez fourni à votre DPO l’ensemble des éléments qui lui permettront de remplir pleinement sa mission.

Attention : un DPO ne peut en aucun cas être tenu pour responsable légal du non-respect du RGPD par une entité.

Responsable traitement des données
02

Constituez un registre de traitement des données

Dans la cadre de votre mise en conformité au RGPD, il est impératif (article 30 du RGPD) de constituer ce qu’on appelle un « Registre de traitement des données ».

Qu’est-ce qu’un registre de traitement des données ?

Le registre de traitement des données est un document permettant à une entité de cataloguer avec précision son processus de collecte et de traitement des données personnelles.

Le registre de traitement des données permet donc d’identifier clairement :

  • L’intégralité des parties prenantes opérant (même ponctuellement) dans le processus de recueil ou de traitement des données personnelles (responsables de traitement, sous-traitants, partenaires commerciaux…).
  • Les catégories et types de données personnelles traitées (état civil, identité, données d’identification, images, vie personnelle…).
  • La finalité de traitement des données (ce que vous faites de celles-ci, qui les consulte et qui en est le destinataire final).
  • Le temps de conservation des données.
  • Les dispositifs de sécurité mis en place pour protéger ces données.

Ce registre de traitement des données (s’il est correctement élaboré) va vous permettre de prouver votre conformité au RGPD.

De plus, la création de ce document vous permettra d’identifier rapidement s’il existe un manquement dans votre mise en conformité au RGPD et d’y remédier rapidement si tel est le cas.

Qui est concerné par la création de ce registre ?

La création de ce registre de traitement des données concerne l’intégralité des entités qui sont amenées à effectuer du traitement de données personnelles dans l’Union Européenne (UE).

Il existe cependant des registres « spécifiques » :

Attention : vous pouvez être sous-traitant dans le cadre de votre activité (exemple : agence web qui génère des contacts pour ses clients) mais également être considéré comme une entité « classique » aux yeux des organismes si vous êtes amenés à traiter des données personnelles pour votre compte personnel (ex : génération de prospects destinés à être traités par votre service commercial).

Vous devrez bien souvent créer plusieurs registres pour votre entité (souvent une par activité : la finalité des traitements étant souvent différente).

Que doit contenir précisément ce registre ?

Le registre de traitement des données doit contenir :

  • Les coordonnées de votre entité
  • Le nom et les coordonnées du responsable de traitement des données
  • Les finalités détaillées du traitement des données
  • Les catégories de personnes concernées par le traitement
  • Les destinataires de ces données personnelles
  • Les durées de conservation des données
  • Une description de la sécurité mise en place pour la protection de ces données.

Ce registre doit être tenu et mis à jour par le responsable de traitement des données de l’organisation.

Comment présenter ce registre ?

Vous pouvez présenter votre registre de traitement des données sous la forme qui vous convient. La seule contrainte légale est que ce document soit écrit (manuscrit ou dactylographié).

La CNIL met à votre disposition un modèle type de registre de traitement des données, que vous pouvez télécharger ici.

Tri des données
03

Effectuez un tri dans les données collectées

Une fois votre registre de traitement constitué, vous obtiendrez une très bonne visibilité sur les données qui vous sont indispensables pour proposer vos prestations ou remplir vos obligations. De surcroît, vous aurez également une vue sur les données qui, au contraire, sont inutiles pour assurer vos prestations. Enfin, vous pourrez également identifier si vous êtes en possession de données dites « sensibles ».

Une fois que vous aurez identifié ces données superflues ou sensibles, vous pourrez les supprimer ou les anonymiser afin d’accélérer votre processus de mise en conformité au RGPD.

04

Mettez en sécurité toutes les données en votre possession

Lorsque vous êtes amenés à traiter des données personnelles, vous devez assurer leur protection. En effet, vous êtes légalement responsable des données qui vous ont étés confiées. Ainsi, vous devez tout mettre en œuvre pour assurer la protection de ces données afin qu’elles ne soient pas perdues ou volées.

Toute perte ou vol de données personnelles entraînés par une négligence de votre part vous expose à des sanctions.

Sécurité des données
05

Collecte des données : information des personnes concernées

Les obligations des entités qui collectent des données personnelles

Le RGPD est très clair en ce qui concerne la collecte des données. L’entité réalisant la collecte doit se soumettre à des obligations strictes :

  • L’obligation d’alerte : lorsque vous collectez des informations personnelles, vous devez systématiquement prévenir les personnes concernées que leurs données personnelles vont être collectées.
  • L’obligation de clarté du message : lorsque vous alertez des personnes que leurs données personnelles vont être collectées, vous devez vous assurer que le message affiché soit clair, concis, transparent et facilement compréhensible par tous. (Le RGPD est clair sur ce point, vous ne devez pas écrire un message ambigu qui pourrait tromper la personne dont les données vont être collectées).
  • L’obligation d’évoquer le traitement des données : en marge des informations fournies traitant de la collecte des données, vous devez également afficher clairement l’objectif de cette collecte et expliquer le traitement qui sera fait avec les données personnelles recueillies. (Cette partie du message doit également être claire, concise et facilement compréhensible).
  • L’obligation d’alerter sur les droits des personnes : la mise en place du RGPD a renforcé le droit des personnes en ce qui concerne leurs données personnelles. Nous détaillerons ce point précis dans le paragraphe suivant.
  • Obligation d’accès à l’information : vous devez garantir que votre message est accessible facilement, à tout moment et au bon endroit pour les personnes concernées par la collecte de données. (Ils doivent avoir accès à ces informations au moment où leurs données vont être collectées).

Les différentes méthodes de collecte des données personnelles

Les obligations citées ci-dessus doivent être respectées dans le cas où vous procédez à de la collecte de données personnelles. Cette collecte peut prendre différentes formes. Ainsi, vous devrez respecter vos obligations si vous procédez à de la collecte :

  • Directe : les données personnelles sont recueillies directement auprès de la personne concernée (formulaire de contact, moteur d’engagement, questionnaire…) ou via des dispositifs d’observation technologiques (Outils analytics, outils de tracking, vidéosurveillance…).
  • Indirecte : les données personnelles sont recueillies indirectement par votre entité (transfert de données par un sous-traitant, achat de données auprès d’une entreprise spécialisée, échange de données avec un partenaire commercial…).

Quelle que soit votre méthode de collecte des données personnelles, vous devrez vous assujettir à vos obligations d’informations des personnes concernées.

Nous vous accompagnons dans la mise en place de vos stratégies digitales

Quand devez-vous délivrer l’information aux personnes concernées par la collecte ?

Le moment où vous devez informer les personnes que leurs données vont être collectées va différer selon la méthode de collecte utilisée par votre entité. Ainsi, vous devrez informer les personnes concernées :

  • Au moment où la collecte de données est réalisée dans le cas où cette collecte se fait de manière directe. (Exemple : vous collectez des leads pour votre entité via un formulaire de contact, vous devez faire figurer votre message sur ce formulaire, ou ajouter un lien redirigeant vers une page faisant figurer votre message).
  • Dans un délai maximum de 1 mois dans le cas où la collecte de données personnelles se fait de manière indirecte. (Exemple : un partenaire commercial vous transmet les données personnelles d’un prospect dans le cadre de votre partenariat, vous avez un mois pour avertir ce prospect que vous êtes en possession de ses données personnelles, du traitement que vous allez en faire ainsi que de tous ses droits).
  • Vous devrez également avertir les personnes concernées en cas de modifications majeures concernant le stockage ou le traitement de leurs données personnelles. (Exemple : vous collectiez des données pour recenser des personnes et vous décidez désormais de faire de la prospection commerciale, vous devez alerter toutes les personnes concernées de ce changement de finalité quant au traitement des données).

Les informations à faire figurer dans le texte d’information

Lorsque vous collectez des données personnelles, votre message de prévention quant à la collecte de ces données doit contenir :

  • Les coordonnées de l’organisme réalisant la collecte des données personnelles
  • Les finalités de traitement des données personnelles (ce que vous allez faire de ces données)
  • La base légale du traitement des données (ce qui donne le droit à votre entité de traiter des données personnelles : obtention d’un consentement, exécution d’un contrat, réalisation d’une prestation…)
  • Le caractère obligatoire ou facultatif du recueil des données (ne recueillir que des données qui sont indispensables pour le traitement)
  • Les destinataires des données (seulement pour votre entité ou amenées à être partagées et à qui ?)
  • La durée de conservation des données (combien de temps allez-vous garder ces données)
  • Les droits des personnes concernées (listing de tous les droits que peuvent exercer les personnes à propos de leurs données personnelles : voir liste)
  • Les coordonnées du DPO de l’entité

Il est possible que vous deviez ajouter des informations complémentaires en fonction de l’activité exercée par votre entité.

collecte des données
06

Définir et permettre aux personnes d’exercer leurs droits

Comme exprimé précédemment, lorsque vous collectez des données personnelles, vous devez présenter leurs droits aux personnes concernées par la collecte.

Ainsi, vous devrez dans votre texte d’information quant à la collecte et au traitement des données personnelles, faire un listing de tous les droits :

  • Le droit d’information ou droit d’accès (ce droit permet à la personne concernée d’accéder à toutes les informations collectées la concernant : type d’informations, durée de conservation…).
  • Le droit d’opposition (ce droit permet à la personne concernée de s’opposer à ce que ses données fassent l’objet d’un traitement).
  • Le droit de rectification (ce droit permet à la personne concernée de modifier/compléter la totalité ou une partie des données la concernant).
  • Le droit de déréférencement ou droit à l’oubli (ce droit permet à la personne concernée de demander à ce que les données la concernant soient supprimées dans les meilleurs délais).
  • Le droit à la portabilité (ce droit permet aux personnes concernées d’obtenir une copie des données personnelles les concernant).
  • Le droit de refus de profilage (ce droit permet aux personnes concernées de s’opposer à être contactées dans le cadre d’une prospection commerciale faisant suite à une opération de profilage : utilisation d’un algorithme traitant des informations individuelles et permet de définir des intérêts d’une personne pour un service ou un produit, un comportement attendu…).
  • Le droit à la limitation du traitement des données (ce droit permet à la personne concernée de demander à ce que ses données personnelles ne soient pas utilisées par l’entité qui les possède. Les données personnelles seront néanmoins conservées.
  • Le droit de déposer une réclamation auprès de la CNIL (ce droit permet aux personnes concernées de contacter la CNIL pour signaler un manquement quant à l’exercice de ses droits).

En suivant les 6 commandements évoqués dans cet article, vous vous assurez d’entamer votre processus de mise en conformité au RGPD.

Attention : chaque entité fonctionnant de manière différente, il est possible que vous ayez d’autres points à mettre en œuvre (non évoqués dans cet article) pour valider définitivement votre conformité au RGPD et donc être à l’abri d’éventuelles sanctions.

UN PROJET
YABAWT vous accompagne dans sa réalisation
Cet article vous a-t-il été utile ?
oui
non
Comment pouvons-nous l'améliorer ?
Annuler
Envoyer
Merci pour votre retour.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

En publiant un commentaire je consent à ce que mon nom et mon message soient rendu publique. Je consent également à ce que mon adresse de messagerie et mon adresse ip soient enregistrées. Ceci dans le but de limiter les abus quant à l'utilisation de cet espace publique. En savoir plus sur vos droits et sur la gestion de vos données personnelles.