Accueil > Marketing & Stratégie > Fiches techniques > Le RGPD va-t-il impacter mon entreprise et comment être en règle ?
Fiches techniques

Le RGPD va-t-il impacter mon entreprise et comment être en règle ?

Entreprise : comment être en règle ?
Partager

Rapide rappel des lois sur la protection des données


A la base, chaque pays de l’Union Européenne dispose de ses propres lois permettant la protection des données. En France, c’est la Loi Informatique et Libertés de 1978 qui faisait foi, celle-ci et ses diverses révisions continuent d’être en vigueur, mais se voient complétées par le RGPD. D’un autre côté, de nombreuses déclarations obligatoires auprès de la CNIL disparaissent et sont remplacées par des mesures pratiques lors de la collecte et du traitement des données. A noter que pour le domaine de la santé, les déclarations auprès de la CNIL restent nécessaires.

Inventorier les données collectées


La première étape pour assurer votre conformité au RGPD est d’inventorier toutes les données personnelles collectées par votre organisation : noms, coordonnées, adresses email… Toute donnée permettant de remonter jusqu’à un individu est considérée comme personnelle.

Ces données seront répertoriées dans un registre, qui indiquera à minima pour chaque type de données :

  • la méthode de collecte
  • la finalité de la collecte
  • le lieu de stockage des données
  • les moyens de protection des données
  • la durée de rétention des données

Le message est clair : il faut reprendre la main sur la collecte et le traitement des données. Il est désormais prohibé de collecter des données qui ne sont pas absolument nécessaires au service que l’on propose, et de les garder de manière indéfinie.

Informer les utilisateurs


La seconde étape de votre mise en conformité concerne l’information des propriétaires des données que vous traitez. Il vous faudra pour cela :

  • informer les utilisateurs du but de la collecte et des dispositions prises pour le traitement conforme des données avant la collecte. Sont concernés formulaires, inscriptions aux newsletters, création de compte utilisateur, etc.
  • détailler l’ensemble de votre politique de confidentialité dans un document à disposition des utilisateurs
  • informer les personnes dont vous avez collecté les données avant l’application du RGPD des changements de votre politique de confidentialité

Recueillir le consentement des internautes


La loi Informatique et Libertés imposait déjà de recueillir le consentement de l’internaute lors de l’inscription à une liste de diffusion. Ce consentement est désormais nécessaire dès lors que l’on collecte des données à caractère personnel. Il faut donc veiller à utiliser un champ de type “opt-in” précisant que l’utilisateur consent à la collecte de ces données pour une utilisation qu’il faut aussi préciser.

Faire valoir les droits des internaute

Un internaute doit avoir la possibilité de consulter, modifier, supprimer ou récupérer les données qu’il vous a confié. A ce titre, vous devez lui permettre de faire valoir ses droits. Dans ce cas, deux options sont à votre disposition :

  • la mise en place d’un système automatique, via par exemple un espace personnel
  • la mise en place d’un point de contact pour recueillir les demandes (formulaire, adresse email,…)

Ai-je besoin d’un DPO pour mon entreprise ?


Le Data Protection Officer, ou Délégué à la Protection des Données est le référent dans l’organisation pour ce qui concerne la protection des données.
Il n’est obligatoire que dans certains cas :

  • l’organisation est une autorité ou un service public
  • les activités de base de l’organisation exigent un suivi régulier et systématique à grande échelle des données
  • les activités de base de l’organisation impliquent un suivi à grande échelle de données sensibles (données de santé, opinions politiques et religieuses …)

Pour résumer, le RGPD est une évolution et une harmonisation des règles déjà existantes. Même si les mesures répressives sont déjà prêtes, le but est de faire comprendre aux organisations que les utilisateurs sont les seuls propriétaires de leurs données personnelles, et qu’une organisation ne peut pas en disposer comme bon lui semble.

Même s’il est pour l’instant vécu comme une contrainte à la fois par les éditeurs et par les internautes, il était temps de faire un pas vers la responsabilisation des entreprises vis-à-vis des données qu’elles traitent.

Article d'Anthony Rodriguez

Nous contacter
Les champs indiqués par un astérisque (*) sont obligatoires
Nous contacter
Les champs indiqués par un astérisque (*) sont obligatoires