Limitation de responsabilité
Toutes les informations se trouvant dans cet article sont le résumé des recherches que j’ai effectuée pour ma propre activité professionnelle.
!! Elles vous sont partagées à titre informatif et n’ont aucune valeur légale !!
Veuillez vous adressez à des professionnels de la légalité pour faire valider toutes vos démarches RGPD !
Introduction : C’est quoi la loi RGPD ??
La RGPD est une loi européenne : il s’agit d’un règlement général sur la protection des données aussi appelé GDPR en anglais (General Data Protection Regulation)
NOTE : Voici le lien vers ce règlement sur le site de « l’accès au droit européen EUR-LEX » si vous souhaitez le lire.
Au départ mise en place pour les GAFA (Google – Amazon, Facebook, Apple et autres grandes entreprises), cette loi sera d’application dès ce 25 mai 2018 et touchera également les PME, les indépendants, les associations ou tout autre personne traitant des données de citoyens européens !
Chaque pays membre de l’union européenne a définit un organisme de contrôle, la CNIL en France et la Commission de la protection de la vie privée en Belgique (à vérifier).
NOTE : Dans la suite de cet article, j’utiliserais la nomination « VOTRE ENTREPRISE » mais sachez encore une fois que cette loi sera d’application pour toute personne ou groupe de personnes qui récoltent et utilisent des données de citoyens Européens.
Pour terminer cette introduction, sachez que votre entreprise doit définir différents rôles dont :
- le « Délégué à la protection des données » (DATA PROTECTION OFFICER) qui sera responsable de la mise en place des démarches RGPD.
- les différents sous-traitants et les accès à leurs registres GDPR.
Le site DNSBelgium partage d’ailleurs un article expliquant les différents rôles et responsabilités.
Comprendre la loi Européenne RGDP simplement
Les principaux objectifs du RGPD sont d’accroître à la fois la protection des personnes concernées par un traitement de leurs données à caractère personnel et la responsabilisation des acteurs de ce traitement. Ces principes pourront être appliqués grâce à l’augmentation du pouvoir des autorités de régulation – Source Wikipédia.
Ce qu’il est primordial de comprendre, c’est que, en cas de contrôle, votre entreprise doit être capable de prouver qu’elle même ET tous ses sous-traitants respectent les 10 critères RGPD non exhaustif que je vous décrits en quelques lignes 🙂
Vous aurez remarqué que c’est uniquement EN CAS DE CONTRÔLE, ce qui signifie qu’il n’est plus nécessaire de prévenir les organismes de contrôle que vous récoltez les données MAIS QUE VOUS POUVEZ ÊTRE CONTRÔLÉ à tout moment !
POINT D’ATTENTION 1 : Cela ne signifie pas non plus qu’il ne faut pas respecter ce nouveau règlement européen car les amendes risquent de tomber… De plus, les contrôles se font sur dénonciation. Ce qui signifie qu’un client mécontent voir même un concurrent peut vous dénoncer et vous risquez le contrôle.
POINT D’ATTENTION 2 : Évitez de tomber dans la paranoïa, mettez en place les actions importantes et soyez serein(e) 🙂
Voici une playlist YouTube expliquant plus ou moins simplement ce qu’est le GDPR :
Partie 1 : Les critères de la loi Européenne RGPD
Voici une liste résumée des 10 critères non exhaustive que chaque entreprise traitant des données de citoyens Européens est censée respecter.
Note : Ce sont les 10 critères que j’ai pu découvrir et regrouper lors de mes recherches. Il se peut qu’il en manque, indiquez en commentaire si vous en trouvez d’autres, je mettrai l’article à jour 🙂
1) Limitation de finalité
La collecte d’informations doit s’effectuer dans un but précis (DATAS OBJECT)
- Votre entreprise doit clairement indiquer ce qu’elle va faire avec les données.
- Le citoyen Européen concerné doit donner explicitement son accord lorsqu’il vous fournit ses données.
Par exemple, lorsque vous récoltez des adresses e-mails sur votre site, vous devez indiquer clairement chaque type d’utilisation de ces données (Newsletter, Emails commerciaux,…) et proposer à l’utilisateur une case à cocher par type de traitement des données qu’il va fournir.
2) Minimisation des données
La récolte des données doit être limitée au strict nécessaire !
Votre entreprise doit explicitement expliquer pourquoi il a besoin de telle ou telle information dans ses mentions légales !
Par exemple : Pourquoi votre entreprise a t’elle besoin de votre numéro de téléphone ?
et dans quel cas ce numéro de téléphone va t-il être utilisé ?
3) Droit de rectification
Les données doivent être exacte et mise à jour si nécessaire.
Le citoyen Européen doit pouvoir modifier ou supprimer ses données
ET votre entreprise doit vérifier (ou demander à son utilisateur) si les données sont toujours correctes à une fréquence X.
(Par contre, je n’ai pas pu trouver d’information sur la fréquence de cette vérification.)
Par exemple, la majorité des systèmes de mailing proposent aux inscrits une possibilité de modifier ou de supprimer leurs coordonnées.
4) Limite de conservation des données :
Les données doivent être conservée pendant une durée limitée et cohérente avec la durée du traitement de ces données.
Votre entreprise doit supprimer les données après un temps donné.
Par exemple, si une école récolte les coordonnées de ses étudiants, la durée peut être équivalente à la durée du cursus scolaire + X années en fonction des besoins.
À ce sujet, j’ai découvert que les documents physiques (papiers, dvd et autres) sont aussi concernés et doivent être détruits à l’aide de matériel appropriés : http://blog.pro-materiels.com/2017/10/11/destructeur-de-documents-rgpd/
5) Confidentialité et intégrité des données collectées
La confidentialité et l’intégrité des données doivent être protégée dans le temps.
Il ne suffit pas de se mettre en règle une seule fois, il faut au fil des années, continuer à pouvoir prouver et tracer les diverses utilisations des données effectuées par votre entreprise.
6) Droit à l’oubli
Les citoyens Européens ont le droit de demander l’effacement de leurs données personnelles.
7) La portabilité
Les citoyens Européens ont le droit de demander le transfert de leurs données personnelles vers un autre responsable de traitement.
8) Traçabilité dans un registre
Votre entreprise doit assurer la traçabilité du traitement des données dans un registre
- D’où viennent ces données ?
- Pourquoi ont-elles été collectées
- Dans quels contextes sont-elles utilisées
- À quelle date devra-t-on les détruire ?
Le site de la Commission nationale de l’informatique et des libertés de France (CNIL) propose un fichier modèle en Excel sur cette page : https://www.cnil.fr/fr/cartographier-vos-traitements-de-donnees-personnelles
9) Protection des données dès la conception (anonymisation et chiffrement)
On parle de « Data Protection By Design » mais je vous avoue que ce point est encore flou pour moi et que je n’ai pas encore compris ce que ce critère nous « impose ».
10) Protection des données par défaut
On parle de « List Data Privilege » au niveau des bases de données.
L’objectif principal de ce critère GDPR est que les niveaux d’accès donnés aux différents utilisateurs soient cohérent avec les tâches qu’ils doivent réaliser.
Par exemple, la secrétaire n’a pas besoin des mêmes accès que le gestionnaire de la base de donnée de tous les clients !
Partie 2 : Comment se mettre en règle par rapport à la loi GDPR ?
Rappelez-vous que ces informations sont à faire valider par un professionnel de la légalité et que toutes les informations de cet articles sont partagées à titre informatif !
Au delà des liens déjà listés dans cet article, voici les autres sources que j’ai utilisée dans mes recherches :
- https://www.ovh.com/fr/protection-donnees-personnelles/gdpr.xml
- http://www.zdnet.fr/actualites/rgpd-comment-tenir-un-registre-des-traitements-39857174.htm
- https://www.droit-technologie.org
- https://www.sage.com/fr-fr/blog/rgpd-11-questions-cles-pour-les-entreprises/
- https://www.webmaster-hub.com/topic/9174-une-cnil-belge/
Il y a également un des épisodes de « ENTREPRENEUR LIVE SHOW » animé par mon ami Thomas Gasio qui a invité Sébastien Gourier du service SG-Autorépondeur qui est l’un des premiers concernés en France par cette problématique RGPD.
Partagez en commentaire vos sources, les liens intéressants et les étapes que vous avez déjà mises en place dans votre activité professionnelle concernant le RGPD :
Ping : Comprendre et appliquer la loi Européenne RGPD en Belgique et en France – Partie 2 – Plan d’action – Carrefour des réussites – Kiffez votre vie d'entrepreneur dès aujourd'hui !