La nouvelle règlementation RGPD impose un certain nombre d’obligations et de procédures liées à la sécurisation des bases de données et leur traitement.
1 – L’accès aux textes règlementaires RGPD +
Depuis le 25 mai 2018 à l’ensemble de l’Union européenne, le règlement européen sur la protection des données (RGPD) renforce les droits des résidents européens sur leurs données et responsabilise l’ensemble des acteurs traitant ces données (responsables de traitement et sous traitants) qu’ils soient ou non établis au sein de l’Union européenne.
Il est donc nécessaire de se mettre en conformité avec le RGPD.
Voici l’accès aux textes officiels RGPD : https://www.cnil.fr/fr/textes-officiels-europeensprotection-donnees
Le RGPD s’applique à toute entreprise qui a une activité de collecte, de traitement et d’utilisation sur les données privées de citoyens européens.
Le RGPD a pour vocation de protéger la vie privée des personnes à travers 3 axes :
- Limiter la collecte des données personnelles au strict minimum
- Obtenir et conserver le consentement des personnes
- Sécuriser et protéger les données récoltées
Les grands principes RGPD
Tout individu a le droit de savoir quelles informations les administrations, les organismes publics ou privés et les sociétés commerciales détiennent sur lui dans leurs fichiers : c’est ce qu’on appelle le droit d’accès.
La loi Informatique et Libertés prévoit que ce droit d’accès s’exerce soit directement, soit indirectement. (A lire : : https://www.cnil.fr/cnil-direct/question/512?visiteur=pro)
Consentement explicite obligatoire :Toutes les données à caractère personnel doivent être obtenues avec l’accord préalable de l’individu, en BtoC comme en B-to-B (A lire : https://www.cnil.fr/cnil-direct/question/371?visiteur=pro)
Restitution des données et portabilité : Toutes les données d’un individu doivent être facilement téléchargeables et transmissibles. Tout individu pourra demander à récupérer les données qu’il aura déclarées. Les données restituées devront l’être sous un format informatique exploitable (A lire : https://www.cnil.fr/fr/le-droit-laportabilite-en-questions)
Droit à l’oubli / Droit à l’effacement Toute personne peut réclamer un droit à l’oubli, ces données devront être intégralement effacées.
La personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l’obligation d’effacer ces données à caractère personnel dans les meilleurs délais. (A lire : https://www.cnil.fr/fr/droit-au-dereferencement)
Droit d’opposition Sur simple demande d’un contact, l’entreprise devra lui garantir qu’il ne sera plus sollicité. En matière de prospection commerciale, ce droit s’exerce sans avoir à justifier de motifs légitimes. Exercer son droit d’opposition, c’est aussi s’opposer à ce que les données soient communiquées à d’autres sociétés commerciales. (à lire : https://www.cnil.fr/cnil-direct/question/899?visiteur=pro)
Conservation des données Les données pourront être conservées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées. Les coordonnées d’un prospect qui ne répond à aucune sollicitation pendant 3 ans doivent être supprimées. (A lire : https://www.cnil.fr/fr/limiter-laconservation-des-donnees)
Les démarches à mettre en œuvre Désignation du Délégué à la protection des données
Toutes les entreprises effectuant du traitement de données à grande échelle devront se doter d’un délègué à la protection des données (DPD) (A lire : https://www.cnil.fr/cnildirect/question/1257?visiteur=part
Constituer un registre de traitement de données justifiant la collecte de traitement de données :
- Objectif poursuivi : Conseil en assurances, par exemple
- Les catégories de données utilisées : nom, prénom, régime
- L’identification des personnes habilitées à accéder aux données
- La durée de conservation des données (durée durant laquelle les données sont utiles d’un point de vue opérationnel, et durée de conservation en archive).
Ce document a pour objectif de justifier la pertinence des données collectées selon la légitimité des objectifs attendus. A l’occasion de la mise en conformité RGPD, il peut être nécessaire de prévoir la suppression de données jugées inopportunes ou superflues. Pour chaque fiche de registre créée, vérifiez que :
- les données que vous traitez sont nécessaires à vos activités (par exemple, il est inutile de demander si vos interlocuteurs sont propriétaire ou locataire si vous n’envisagez pas de leur proposer d’assurance multi-risques habitation.
- vous ne traitez aucune donnée dite « sensible » ou, si c’est le cas, que vous avez bien le droit de les traiter (voir la fiche « Traitements de données à risque : êtes-vous concerné ? ») ;
il convient d’être particulièrement attentif aux données bancaires par exemple ainsi qu’aux éventuels transmissions de documents comme les pièces d’identités….
- seules les personnes habilitées ont accès aux données dont elles ont besoin ; • vous ne conservez pas vos données au-delà de ce qui est nécessaire.
Ce droit est à caractère rétroactif.
Cela signifie que vous n’êtes pas censé conserver des données de personnes pour qui vous n’avez pas confirmation de consentement.
Conseil : Cette législation vous impose de purger la partie de votre base de données pour laquelle vous n’avez pas de consentement.
Renforcement du devoir d’information
Le RGPD renforce l’obligation d’information et de transparence à l’égard des personnes dont vous traitez les données (clients, collaborateurs, etc.).
A chaque fois que vous collectez des données personnelles, le support utilisé (formulaire, questionnaire, etc.) doit comporter des mentions d’information.
Vérifiez que l’information comporte les éléments suivants :
- Pourquoi vous collectez les données (« la finalité » ; par exemple pour gérer l’achat en ligne du consommateur) ;
- Ce qui vous autorise à traiter ces données (le « fondement juridique » : il peut s’agir du consentement de la personne concernée, de l’exécution d’un contrat, du respect d’une obligation légale qui s’impose à vous, de votre « intérêt légitime ») ;
- Qui a accès aux données (indiquez des catégories : les services internes compétents, un prestataire, etc.) ;
- Combien de temps vous les conservez (exemple : « 5 ans après la fin de la relation contractuelle ») ; • Les modalités selon lesquelles les personnes concernées peuvent exercer leurs droits (via leur espace personnel sur votre site internet, par un message sur une adresse email dédiée, par un courrier postal à un service identifié) ;
Si vous disposez d’un site web, prévoyez un formulaire de contact spécifique, un numéro de téléphone ou une adresse de messagerie dédiée. Si vous proposez un compte en ligne, donnez à vos clients la possibilité d’exercer leurs droits à partir de leur compte.
Conseil : Vérifiez auprès de vos fournisseurs de leads que chacun de vos partenaires respecte la législation RGPD en la matière. Demandez confirmation que chaque lead reçu a préalablement donné son consentement et que vous recevrez une notification en cas de demande d’opposition, suppression, portabilité de ses coordonnées.
Sécurisation des données
Obligation de signalement à la CNIL des violations de données personnelles
Si votre entreprise subit une violation de données (des données personnelles ont été, de manière accidentelle ou illicite, détruites, perdues, altérées, divulguées ou vous avez constaté un accès non autorisé à des données), vous devez la signaler à la CNIL dans les 72 heures si cette violation est susceptible de représenter un risque pour les droits et libertés des personnes concernées. Cette notification s’effectue en ligne sur le site internet de la CNIL. Si ces risques sont élevés pour ces personnes, vous devrez les en informer.