La loi du 20 juin 2018 contraint les entreprises, collectant des données qui se rapportent à des clients, des salariés ou tout autre personne physique, à se mettre en conformité avec le Règlement Général sur la Protection des Données (RGPD).
On pose le cadre !
RGPD, c'est quoi ?
Le RGPD s’inscrit dans la continuité de la loi française Informatique et Libertés de 1978 et s’adapte aux évolutions technologiques de notre société : un usage accru du numérique, le développement du e-commerce, …
Il a pour objectif :
– d’encadrer le traitement des données personnelles sur le territoire de l’Union Européenne
– de renforcer le contrôle par les citoyens de l’utilisation de leurs données personnelles
– d’harmoniser les règles en Europe
Qui est concerné par le RGPD ?
Le RGPD s’applique à toute organisation, publique ou privée, qui traite des données personnelles pour son compte ou celui d’un tiers (sous-traitants), que celle-ci soit basée sur le territoire de l’Union Européenne ou que son activité, bien qu’extérieure à l’UE, cible directement les résidents européens.
Données personnelles, c'est quoi ?
Il s’agit de toutes informations se rapportant à une personne physique et qui permettent de l’identifier directement ou indirectement.
On pense souvent au nom, au prénom et aux coordonnées (adresse postale, numéro de téléphone, adresse électronique, …), mais il faut savoir que le spectre est beaucoup plus large : coordonnées bancaires, images, vidéos, fichiers audios. Et même les cookies, ces petits fichiers qui facilitent la navigation sur internet … et qui enregistrent au passage des informations relatives à vos connexions internet.
Pourquoi on s'en occupe ?
Trois raisons à cela :
– parce que c’est une obligation et que vous vous exposez à des sanctions si vous ne vous y conformez pas
– parce que cela renforce la confiance de vos usagers et favorise donc une bonne relation client
– parce que cela vous met à l’abri de critiques ou de plaintes
On se lance dans le RGPD !
Constituez un registre de vos traitements de données
1 – Identifiez dans quel cadre vous utilisez des données personnelles : recrutement, gestion des payes, formation, statistiques de vente, gestion des prospects, …
2 – Créez votre registre avec une fiche pour chaque activité qui traite des données personnelles.
3 – Précisez pour chaque activité l’objectif de la collecte et/ou du traitement de données, les catégories de données utilisées (nom, prénom, date de naissance, salaire, …) et qui a accès à ces données.
4 – définissez la durée de conservation des données.
A noter, que le registre est sous la responsabilité du dirigeant de l’entreprise.
Faites le tri dans vos données
Il convient de vérifier que :
1 – les données traitées sont nécessaires à vos activités.
2 – vous ne traitez pas de données dites sensibles (informations médicales, ethnie, religion, orientation sexuelle, opinion politique, appartenance à un syndicat, …) et que si c’est le cas vous avez bien le droit de les traiter (il y a un objectif bien défini derrière cette collecte et/ou ce traitement).
3 – vous ne conservez pas vos données plus longtemps que le temps nécessaire.
Respectez les droits des personnes
Dans un souci d’information et de transparence, il convient de :
1 – informer les personnes
Que ce soit un formulaire papier ou en ligne, ou tout autre support, il doit comporter des mentions d’information sur votre gestion du RGPD : pourquoi cette collecte ? Qu’est-ce qui vous autorise à traiter ces données ? Qui a accès à ces informations ? Combien de temps vous les conservez ? Quelles sont les modalités pour que les personnes exercent leurs droits ? Et si il y a un transfert hors de l’Union Européenne, dans quel pays et quel encadrement juridique maintient la protection des données ?
2 – permettre aux personnes d’exercer leurs droits
Elles ont un droit d’accès, de rectification, d’opposition, d’effacement, à la portabilité* et à la limitation du traitement.
Pour ce faire, un formulaire doit être à disposition des clients, mais aussi un numéro de téléphone et un mail dédié.
Les demandes doivent impérativement être traitées dans un délai d’un mois.
* portabilité = maintient des droits
Sécurisez vos données
Les mesures varient en fonction de la sensibilité des données. Toutefois en respectant les règles suivantes, vous limitez les risques d’incident :
– mettre à jour votre antivirus
– bien choisir vos mots de passe
– dans certains cas coder vos données
– effectuer des sauvegardes régulières
En cas de violation de données, il convient d’en informer la CNIL dans les 72 heures (notification à faire en ligne), si cela est susceptible de représenter un risque pour les droits et les libertés des personnes concernées.
Besoin de plus de renseignements sur le RGPD ?
L’équipe de l’Office de Tourisme Destination Vendée Grand Littoral est à votre disposition pour vous aider. Vous pouvez aussi vous faire accompagner par un cabinet spécialisé ou contacter la CNIL.