digitalitsoftware

RGPD : se mettre en conformité

By 1 juin 2018 No Comments
drapeau europe rgpd

Voici la to-do liste destinée à vous aider à vous conformer au RGPD : Les interrogations à vous poser, les mesures à prendre, les choses à savoir, version longue et version courte.

Le résumé est  ici

 

  • 1ère question à se poser : suis-je concerné par le RPGD ?

Est concernée, dit la loi, par le RGPD toute entreprise située sur le territoire européen, ou qui a une filiale sur un territoire européen, ou qui traite les données personnelles d’un résident européen.

Ainsi donc, la quasi-totalité des entreprises Suisse est concernée.

 

  • 2ème interrogation : Traite-je des données personnelles ?

Des données personnelles sont un ensemble d’informations qui contiennent un élément permettant d’identifier un individu, via par exemple un nom, une adresse ou un numéro de téléphone. Elles peuvent être qualifiées de « sensibles » lorsqu’elles contiennent des indications sur la religion, l’orientation sexuelle ou encore les opinions politiques. Dans ce cas, une protection supplémentaire est nécessaire et les sanctions en cas de manquement sont plus lourdes. Ces données peuvent être récoltées via des cookies sur un site internet, via l’acquisition de prospects par formulaires de contact, achat d’un fichier clients ou encore par formulaire de jeux-concours.

Si les données récoltées à ces occasions contiennent un élément permettant d’identifier une personne physique, ce sont des données personnelles.

 

  • 3ème interrogation : Quelles étapes dois-je suivre si je suis effectivement soumis au RGPD? 

La première étape est de demander l’autorisation aux personnes dont les données sont récoltées. Par exemple, sur votre site internet, un bandeau doit explicitement demander l’autorisation aux visiteurs de récolter ses données. A noter que l’utilisation du site internet ne doit pas être conditionnée par cet accord ou ce refus : un utilisateur qui refuse la ponction de ses données doit pouvoir accéder au site. Ce point là est très clair dans le règlement, afin d’éviter l’astuce du consentement des cookies, qui notifiaient que l’utilisateur devait accepter l’utilisation des cookies pour continuer à naviguer sur le site.

De même, lorsque quelqu’un remplira un formulaire (virtuel ou papier), il devra cocher une case afin que ses données puissent être récoltées et stockées, au moins dans le cadre de sa demande.

Si vous êtes une entreprise située hors UE, il est nécessaire d’avoir un référent qui y est localisé. Ceci est obligatoire afin d’avoir une adresse, un contact et un interlocuteur local pour les différents organismes chargé d’appliquer ce règlement.

Enfin, une politique de confidentialité doit être affichée sur le site internet.

 

  • 4ème interrogation : Quels outils dois-je mettre en place en interne ?

Il faut savoir que ce règlement donne un grand nombre de droits à l’utilisateur. Entre autres, celui doit pouvoir avoir accès à l’intégralité des données le concernant que vous pouvez posséder, dans un délai raisonnable et un format lisible. L’utilisateur concerné pourra aussi exercer des droits de suppression, de modification ou encore de transmission à un tiers. Il est donc nécessaire de mettre en place des outils en interne afin de pouvoir répondre à ces demandes.

Les données récoltées doivent désormais être supprimées au bout de 13 mois pour celles récoltées automatiquement, et 3 ans pour un prospect. Là encore un processus automatisé est nécessaire.

 

  • 5ème interrogation : Quelles responsabilités dois-je établir ?

Toute entreprise au-dessus de 250 salariés doit désigner un DPO, qui sera le responsable attitré du stockage et du traitement des données personnelles. Son identité devra être indiquée dans la politique de confidentialité.

De plus, un registre contenant toutes les informations doit être établi et tenu à jour. Celui-ci doit contenir un grand nombre d’informations, les coordonnées de l’entreprise et de son représentant sur le territoire européen, les coordonnées du DPO, la liste des activités de l’entreprise qui impliquent un stockage et/ou un traitement des données personnelles etc. Des modèles sont disponibles sur le site de la CNIL. Ce registre doit pouvoir être communiqué à tous les organismes européens régulant le RGPD dans chacun des pays de l’UE sur leur demande. Les responsabilités entre traitants/sous-traitants doivent là aussi être solidement définies.

 

  • 6ème si je ne me conforme pas, que risque-je ?

Là-dessus, le RGPD est assez clair. Les organismes tels que le CNIL ont à leur disposition toute une palette de sanctions, allant de l’avertissement jusqu’à l’amende pouvant atteindre 4% du CA mondial, et 20M d’euros pour un responsable. Des sanctions pénales sont également possibles. A noter que devant de tels risques, certains organismes ont fermé leurs portes ou cessé leur activité en Europe. D’autres ont bloqués leur service pour l’Europe en attendant de se mettre en conformité.

 

  • 7ème combien de temps ai-je pour me mettre en conformité ?

0 ! En effet, ce règlement est en place depuis le 25/05/2018. Vous avez eu 2 ans pour vous y préparer ! Cependant, vu la complexité de la mise en place, les entreprises ont 1 an pour appliquer le règlement, et les premières sanctions lourdes ne sont pas prévues avant 2 ans. Il est cependant nécessaire de se mettre à jour au plus vite, des manquements flagrants ou intentionnels pouvant être sanctionnés dès maintenant. Des plaintes ont d’ailleurs déjà été déposées contre Google, Facebook et autres géants du web.

Un résumé svp?

Voici: (non exhaustif!)

– créer une page politique de confidentialité

– demander le consentement d’un utilisateur quand celui-ci vous envoie des données personnelles

– demander l’autorisation d’un utilisateur lors de la récolte de données personnelles automatique (via des cookies par exemple)

– établir un registre sur un modèle fourni par la CNIL par exemple

– avoir un interlocuteur localisé en union européenne

– établir des procédures d’effacement de données personnelles après un certain temps

– instaurer un outil permettant de répondre aux demandes des utilisateurs, comme la suppression de ses données ou l’envoi d’un fichier lisible les contenant.

– (re-)demander l’autorisation à la bdd de clients actuels pour l’envoi des newsletters etc.

Ticketing | Télémaintenance