Vous êtes dirigeant d’entreprise ? Vous communiquez régulièrement sur vos produits et services et possédez un site internet vitrine ou e-commerce ? Vous avez entendu parler du RGPD sans pour autant bien en comprendre les tenants et les aboutissants ni même encore les enjeux ? Strange Engine, l’agence qui vous rend irrésistible sur le web répond à vos interrogations !
Règlement Général sur la Protection des Données : le contexte
Faisons simple.
Le RGPD est un texte réglementaire européen, encadrant de manière égalitaire le traitement des données dans l’Union Européenne.
Ce Règlement Général sur la Protection des Données s’inscrit ainsi dans la continuité de la loi française”Informatique et Libertés”, modifiée en 2018 pour celle de la protection des données personnelles (ou personal data).
Données personnelles, traitement, confiance, responsabilité et transparence
Le RGPD (Règlement Général sur la Protection des Données) est une réglementation européenne qui s'applique à toute personne morale ou physique responsable de traitements de données à caractère personnel dans le cadre de ses activités.
Le responsable doit fournir une information claire aux personnes concernées sur l'utilisation de leurs données, obtenir leur consentement de manière explicite et respecter leurs intérêts. Les traitements doivent être réglés de manière à garantir la sécurité et la confidentialité des données.
Cette réglementation s'applique à tous les services en ligne et publics qui traitent des données personnelles. Les personnes concernées par la collecte de leurs données doivent impérativement disposer d’un droit d’accès, de rectification et de suppression de ces dernières. En cas de non-respect du RGPD, des sanctions (parfois lourdes) peuvent être appliquées par les autorités compétentes.
Ces règlements sont indispensables, car ils permettent d’établir les règles de la collecte et de l’utilisation des données. Ils ont donc été conçus pour :
- Renforcer les droits des utilisateurs ;
- Responsabiliser les entreprises qui traitent les données ;
- Crédibiliser la régulation par une coopération renforcée avec les autorités de protection de données.
Encadrer le traitement des données à caractère personnel : un mode d’emploi autant qu’un enjeu
Maintenant que vous êtes informé sur le RGPD, quelle est donc la définition d’une donnée personnelle ?
Continuons sur des bases solides :
Une donnée personnelle (ou donnée à caractère personnel) est, selon la CNIL (Commission nationale de l’informatique et des libertés) définit comme suit : “toute information se rapportant à une personne physique identifiée ou identifiable.”
Pour simplifier, deux types d’identification existent pour les données à caractère personnel :
- L’identification directe avec le nom, le prénom, etc.
- L’identification indirecte, avec un identifiant, un numéro…
L’identification directe
Concerne l’identité, le sexe, l’âge, l’adresse, le lieu de travail, les intérêts. L’identification d’une personne physique peut ainsi être réalisée à partir d’une seule donnée, ou d’un croisement d’un ensemble de ces informations : un homme habitant telle ville, né pendant en telle année…, habitué à réaliser ses achats à tel magasin, engagé dans telle association…
En résumé : si vous n’en aviez pas conscience, vous êtes une base de données à vous seul.
L’identification indirecte
Englobe des informations telles qu’un numéro client ou de téléphone, une donnée biométrique, des éléments spécifiques à l’identité physique, génétique, physiologique, psychique, sociale, culturelle ou encore économique, et même l’image ou la voix.
Est-ce que vous êtes concerné ?
Le traitement des données personnelles se définit alors sur l’exécution d’une opération qui porte sur des données à caractère personnel.
Voici quelques exemples parlants :
- La tenue d’un fichier des clients ;
- La collecte de coordonnées de prospect sur un questionnaire ;
- La mise à jour de fichiers de fournisseurs.
- Mais encore les informations recensées sur un contrat avec un client ou même un contrat de travail…
Vous l’aurez compris : Toute entreprise est donc concernée par le Règlement Général sur la Protection des Données. Qu’il s’agisse d’une structure privée ou publique car la data est partout ou presque !
Qu’importe le secteur d’activité et la taille de l’organisme, le RGPD s’applique donc à toute organisation établie dans l’Union Européenne, ainsi que toute autre dont l’activité cible des résidents européens (même si celle-ci est implantée hors du territoire de l’Union Européenne).
Vous êtes sous-traitant qui traite et collecte des données pour une autre entité ? Le Règlement Général sur la Protection des Données vous concerne, et vous possédez des obligations envers les internautes qui visitent votre site.
Faites également preuve de bons réflexes pour éviter les pièges du RGPD
Vous souhaitez faire appel à une société pour vous mettre en conformité au RGPD ?
La CNIL et la DGCCRF (Direction générale de la concurrence, de la consommation et de la répression des fraudes) vous mettent en garde contre de multiples pratiques abusives déjà constatées :
- Le démarchage (souvent agressif) par des entreprises qui se prétendent mandatées par les pouvoirs publics, et qui peuvent en plus présenter des faux services et des prestations onéreuses ;
- La proposition de prestations incomplètes, avec l’envoi d’une documentation ou d’un simple échange.
N’hésitez pas à vérifier plusieurs informations comme l’identité de l’entreprise qui vous démarche (par téléphone ou sur le web), la nature des prestations et les dispositions contractuelles (ou précontractuelles).
Vous conseiller dans la conformité au RGPD par un guide pratique
Vous pouvez rapidement et facilement adopter immédiatement quatre réflexes inévitables dans le RGPD :
- La constitution d’un registre pour les traitements de données ;
- La réalisation d’un tri dans les données en ne collectant que celles nécessaires et en supprimant les données obsolètes ;
- Le respect des droits des internautes en termes de consultation, rectification ou suppression ;
- La sécurisation des données.
Le lien entre le RGPD et l’E-mailing
L’opt-out & opt-in passifs sont interdits. Vous ne voyez pas de quoi il s’agit ? Voici quelques précisions :
- L’opt-out est une pratique où un utilisateur est automatiquement ajouté à une liste après avoir souscrit à un service, et où il doit se désinscrire lui-même s'il ne souhaite pas faire partie de la liste.
- L'opt-in passif est une pratique où le consentement d'un internaute est obtenu de manière trompeuse, souvent en pré-cochant une case qui correspond à la volonté de recevoir des e-mails de l'entreprise.
- L'opt-in est une pratique qui permet à l'utilisateur d'exprimer librement son consentement par une action positive, généralement en cochant une case pour recevoir des e-mails de votre part.
Cependant, il existe 2 exceptions pour lesquelles l’obtention du consentement n’est pas obligatoire :
- Pour les contacts B2B qui sont des adresses e-mail professionnelles et lorsque la prospection est liée à l'activité exercée par le destinataire ;
- Pour les clients existants lorsqu'ils sont contactés au sujet de produits ou de services liés à leurs précédents achats.
En résumé, les grands principes que vous devez retenir
- Les nouvelles lois renforcent les droits individuels en matière de consentement et d'accès aux données ;
- Les prestataires et les sous-traitants (tels que les services Cloud) peuvent être tenus responsables ;
- Les entreprises sont obligées de communiquer clairement l'utilisation qui sera faite de leurs données et leurs droits à la modification ou l'effacement de celles-ci ;
- Les utilisateurs doivent pouvoir facilement annuler leur consentement et demander la suppression de leurs données ;
- Les entreprises doivent mettre en place des mesures de protection des données et informer les personnes concernées de toute fuite de données.
Si une entreprise ne respecte pas ces lois, elle peut se voir infliger des amendes allant de 2% à 4% de son chiffre d'affaires et jusqu'à 20 millions d'euros pour les infractions les plus graves.
Bon à savoir : les enjeux du RGPD - Le petit plus : les conseils de Strange Engine
Enfin, il est essentiel de garder à l’esprit les enjeux et les risques en cas de non-respect du RGPD.
Un rappel à l’ordre, l’obligation du traitement de conformité, la suspension des flux de données, les sanctions pécuniaires, l’amende administrative sont autant de solutions appliquées par la CNIL afin de s’assurer de la mise en application par les entreprises du règlement établi.
Pas de panique !
Armée de ses compétences et de son expérience, notre équipe saura vous conseiller face à tous les enjeux liés au RGPD dans le cadre de la mise en conformité de votre site internet !