Depuis mai 2018, le RGPD, le Règlement Général sur la Protection des Données responsabilise toutes les structures, qu’elles soient publiques ou privées, sur le traitement des données personnelles. On pourrait penser que ce ne sont que les grandes entreprises qui pourraient être soumises au RGPD, mais ce n’est pas le cas ! Nous allons voir ensemble si vous êtes concernés par le règlement et quelles actions vous devez mettre en place.

Concerné par le RGPD ?

Pour savoir si vous êtes concernés, vous devez déjà savoir si vous traitez des données personnelles pour votre activité.

1 – Qu’est-ce qu’une donnée personnelle ?

Une donnée personnelle est « toute information se rapportant à une personne physique identifiée ou identifiable ».

Une personne est identifiée :

  • Directement par le nom et le prénom
  • Indirectement par un numéro client, un numéro de téléphone, des éléments spécifiques propres à son identité physique, générique, psychique, la voix, une image…

Cette identification peut se faire avec juste une seule donnée ou le croisement d’un ensemble de données.

2 – Qu’est-ce qu’un traitement de données personnelles ?

C’est une opération portant sur les données personnelles. Cela peut être de la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation, la modification, l’extraction, la consultation, l’utilisation, la diffusion,…

Par exemple : une collecte de coordonnées de prospects, un fichier de prestataires….

3 – Quelles sont les structures concernées ?

Toutes les structures, quelques soient leurs tailles, le pays d’implantation et leurs activités. Dès que l’activité est établie sur le territoire de l’Union européenne ou destinée aux résidents européens, les organismes doivent se mettre en règle.

Maintenant que vous savez si vous êtes concernés, voyons comment vous pouvez passer à l’action pour votre mise en conformité.

4 actions pour être conforme au RGPD

Schéma de la CNIL

1 – Faire un état des lieux des données personnelles traitées au sein de votre entreprise

Identifiez les activités principales de votre entreprise qui nécessitent la collecte et le traitement des données personnelles (recrutement, formation, statistique de ventes, gestion des clients prospects…).

Pour chaque activité recensée, précisez l’objectif poursuivi (gestion des opportunités, fidélisation client, ..), les catégories de données utilisées (nom, numéro de téléphone, salaire,..) et la durée de conservation de ces données.

Cela vous permettra d’avoir une vision d’ensemble.

2 – Faire le tri dans vos données

Demandez vous ensuite si toutes les informations que vous avez sont nécessaires pour le bon fonctionnement de votre activité. Essayez de minimiser la collecte de données en éliminant des informations inutiles. Effacez également toutes les données archivées au bout d’une certaine durée.

3 – Informer les personnes

A chaque fois que vous collectez des données, vous devez informer les personnes en toute transparence de ce que vous en faites. Qui a accès à ces données ? Pourquoi vous les collectez ? Combien de temps vous les gardez ? Comment les personnes peuvent vous contacter pour connaître les informations que vous détenez sur elles ?

4 – Sécurisez vos données

Quand vous détenez des données personnelles, vous êtes tenus d’assurer la sécurité de ces données. Il faut donc prendre quelques mesures : logiciel antivirus, changements réguliers de mots de passe, utilisation de mots de passe complexes, accès à vos équipements numériques sécurisés, procédure de sauvegarde et de récupération des données,…

Que faire pour le RGPD quand on vend en ligne ?

1 – Avec un site vitrine

Si vous proposez un formulaire de contact et/ou l’abonnement à une newsletter, il faut prévoir des mentions légales et une politique de confidentialité sur votre site internet.

2 – La vente en ligne

Pour l’achat en ligne, vous devez demander un certain nombre d’informations. Ces données doivent être justifiées par le service rendu au client. Si vous collectez une date d’anniversaire, c’est parce que vous proposez une réduction à votre client.

Vous devez intégrer l’information et le consentement de vos clients à l’utilisation de leurs données.

Pour en savoir plus sur la sécurité de votre site web, vous pouvez consulter un article de la CNIL à ce sujet.

3 – Les cookies et autres traceurs

Si vous utilisez des traceurs pour connaitre la navigation des internautes sur votr site internet, vous devez impérativement informer l’internaute de leurs existences et d’obtenir son consentement. L’internaute doit également être informé des usages des traceurs utilisés.  

Attention, la CNIL a précisé quelques règles qui doivent être appliquées à partir de mars 2021 :

  • Si un internaute poursuit sa navigation sans accepter les cookies : ce n’est pas un consentement. L’internaute doit bien cliquer sur le bouton « j’accepte ».
  • Le non consentement aux cookies ne doit pas empêcher la visite du site internet
  • Le site web doit pouvoir présenter aussi un bouton « tout refuser » au même titre que le bouton « tout accepter » pour laisser un choix réel à l’internaute !

J’espère que cet article vous aura éclairé sur le RGPD et les bonnes pratiques à mettre en place dès le début de votre activité. N’hésitez pas à me contacter si vous souhaitez en savoir plus.

Si vous voulez aller plus loin, le site de la CNIL est une mine d’or concernant la RGPD. Il peut vous aider à mettre en place les actions nécessaires.