Si vous n’en avez pas encore entendu parler, le RGPD est le Règlement Général sur la Protection des Données, un texte européen qui s’appliquera directement en France dès le 25 mai 2018 avec de nouvelles obligations à la clé pour votre entreprise. Je vous propose de faire le point sur ce que vous devez savoir et préparer pour vous mettre en conformité avec le RGPD d’ici là car les sanctions prévues sont extrêmement lourdes (amende jusqu’à 20 millions d’euros).
MISE A JOUR : Suite à l’envoi de nos questions à la CNIL sur les répercussions du RGPD sur les TPE-PME, voici la réponse qu’ils nous ont envoyée :
« La CNIL présentera un « Guide pratique de sensibilisation au RGPD destiné aux petites et moyennes entreprises », en partenariat avec la Banque Publique d’Investissement (BPI), mi-avril 2018.
Ensuite, je vous précise que vous trouverez d’ores et déjà sur notre site internet un modèle de registre. Je vous précise toutefois que ce modèle est en cours de modification.
Par ailleurs, un dossier complet concernant le RGPD est publié sur notre site (onglet « Règlement européen » sur la page d’accueil), avec un accès notamment à des FAQ sur le Règlement.
Enfin, je vous précise que dans la mesure où les principes fondamentaux de la protection des données personnelles ne sont pas modifiés par le RGPD, les fiches pratiques thématiques (
vidéosurveillance, commerce, travail) actuellement diffusées sur notre site resteront globalement exactes, même si elles sont bien évidemment en cours de modification, notamment pour supprimer la partie relative aux formalités préalables ainsi que mettre à jour celle concernant l’information des personnes. »
Pourquoi le RGPD a-t-il été créé ?
Selon moi, 2 phénomènes ont poussé l’Europe à prendre ces mesures (à juste titre d’ailleurs) :
- l’explosion de la data et surtout l’utilisation de plus en plus importante des données personnelles récoltées notamment pour faire du marketing (sans compter toutes les données récoltées maintenant par nos smartphones, nos objets connectés, etc.)
- le véritable « far west » qui s’est organisé autour de ces données personnelles qui passent d’entreprises en entreprises et sont vendues au plus offrant sans l’accord de la personne concernée
Le RGPD est une bonne nouvelle pour le citoyen (particulier ou professionnel) qui est inondé d’e-mails non sollicités ou de coups de téléphone à l’heure du déjeuner. Il était temps que le « shérif » agisse même si il existait déjà 28 textes traitant des données personnelles. L’un des plus gros apports du RGPD est qu’il fait de la protection des données personnelles un droit fondamental pour les citoyens.
Quelles sont les entreprises concernées par le RGPD ?
C’est là que le bas blesse : TOUTES les personnes morales (donc entreprises mais aussi organismes, collectivités…) vont avoir les mêmes obligations, qu’il s’agisse d’une multinationale ou d’un artisan à Challans ou d’un autoentrepreneur aux Sables. Quoiqu’il en soit, dès que votre entreprise collecte des données personnelles de façon automatisée ou non sur des clients, des prospects bref n’importe quel individu ou internaute, elle est concernée.
Cependant, les TPE-PME seront dispensées de quelques-unes des obligations (voir plus bas « dispenses PME RGPD »).
Seule la personne physique dans le cadre d’une activité toute personnelle n’est pas concernée (oui quand même, on peut demander le n° de téléphone d’un ami, merci).
C’est quoi les données personnelles du RGPD ?
Ce sont toutes les données qui permettent d’identifier une personne (même sans la nommer, du moment qu’on peut la distinguer parmi d’autres) :
- les données fréquentes : nom prénom, photographie, adresse e-mail, numéro de téléphone
- les données portant sur les caractéristiques physiques (ex : mensurations sur une boutique virtuelle), culturelles ou sociales
- les données digitales ou « traces » laissées : adresse IP, identifiants, mots de passe, coordonnées GPS, habitudes de navigation en ligne, boutiques fréquentées dans un centre commercial géolocalisant ses clients
Le RGPD concerne aussi bien les données brutes (la masse collectée) que les analyses qui en sont tirées, et ce que la collecte ou le traitement des données soit manuel ou automatisé.
Cela veut dire très concrètement que des tas d’actes courants (commerciaux ou non) vont être soumis au RGPD :
- Remplir une carte de fidélité ou un coupon de jeu-concours
- Remplir un formulaire de contact sur un site et forcément cocher une case pour autoriser à vous recontacter
- Mettre à jour le trombinoscope de votre service
- Gérer la flotte de véhicules d’une entreprise
- Faire surveiller son magasin par des caméras anti-fauche…..
Quels droits donne le RGPD aux citoyens précisément ?
Droit d’accès : les citoyens doivent pouvoir demander les données personnelles que vous possédez sur eux et savoir comment elles sont collectées, traitées et dans quel but. Concrètement, cela veut dire que chaque entreprise devra pouvoir techniquement répondre à ces demandes (envoi de l’extrait du fichier les concernant avec notice explicative claire sur le traitement et sa finalité).
Consentement clair, univoque et explicite : c’est l’un des points les plus importants du règlement, vous devez recueillir l’accord de la personne AVANT de collecter ses données personnelles et ce pour chaque usage des données. Ex : on ne pourra plus demander l’autorisation générale d’utiliser les coordonnées mail, il faudra préciser et recueillir l’accord pour chaque usage (à des fins de contact sur la transaction, à des fins promotionnelles, à des fins de sondage, etc.) et ce sans équivoque (case à cocher non-précochée, lien d’activation dans un e-mail, etc.).
Droit à l’effacement : chaque personne doit pouvoir faire effacer ses données personnelles sans problème et dans les meilleurs délais, donc techniquement cela doit être possible.
Portabilité des données : la personne doit pouvoir demander l’intégralité des données personnelles la concernant dans un format facile à transmettre à un autre prestataire, voire il peut demander au prestataire de les transmettre à un autre prestataire quand c’est techniquement possible.
Profilage et automatisation : les citoyens ont le droit de ne pas être soumis à une décision basée uniquement sur un traitement automatisé (profilage) si cette décision produit un effet juridique ou l’affecte de manière significative.
Quels risques et sanctions en cas de non-respect du RGPD ?
Alors que tous les textes précédents fixaient des amendes à maximum 150 000 €, le RGPD instaure des amendes pouvant aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires. En effet, le seul moyen pour l’Europe de s’assurer que cette réglementation très contraignante sera appliquée est de poser une menace sérieuse. Et pourtant, cet été 80% des dirigeants affirmaient n’avoir jamais entendu parler du RGPD, il va falloir communiquer et vite (car nul n’est censé ignorer la loi).
Comment se préparer à l’entrée en vigueur du RGPD en 2018 ?
Pour les entreprises de plus de 250 employés, faites-vous accompagner car c’est un énorme chantier (désignation d’un Délégué à la Protection des Données, remise à plat de tous les traitements de données, examen des conditions de traitement des données chez les fournisseurs, etc.) et cela peut être délégué à un cabinet professionnel.
Les TPE-PME sont dispensées de quelques obligations liées au RGPD :
- la désignation d’un délégué à la protection des données
- la consignation des activités de traitement
- l’analyse d’impact (sauf en cas de traitement de données sensibles comme l’ethnie, la religion, l’orientation sexuelle etc.)
- le signalement systématique en cas de violation des données (vol, accès frauduleux, vous n’aurez pas à prévenir les personnes concernées)
Pour les TPE-PME, voici les étapes que je vous conseille de suivre pour vous préparer au RGPD :
- Prenez le temps de vous poser pour faire le tour des données personnelles que vous collectez dans l’entreprise, à la fois pour le marketing via votre site ou via la secrétaire qui reçoit les appels et demande ces infos, et en interne sur vos employés.
- Une fois les traitements cartographiés, interrogez-vous sur leur finalité et leur nécessité. Supprimez ceux qui ne sont pas nécessaires. Pour les autres indispensables, trouvez le moyen de vous assurer de l’autorisation des personnes concernées, même si cela implique par exemple de faire un e-mailing à tout votre fichier client pour leur demander s’ils sont toujours intéressés par vos services et s’ils peuvent formuler leur accord en remplissant un formulaire rapide. Oui, cela va probablement élaguer votre fichier mais cela le rendra aussi plus qualitatif !
- Documentez vos pratiques pour pouvoir répondre aux questions et désignez quelqu’un chez vous qui sera garant du respect de ces pratiques et pourra communiquer avec les autorités au besoin.
- Révisez vos chartes, contrats de travail, CGV sur le site, mentions légales etc. pour montrer que vous êtes prêts à respecter le règlement européen, faites-en même un argument !
- Informez vos employés et sensibilisez-les pour qu’ils comprennent ces nouveaux droits et obligations.
Pour nos confrères du web et du webmarketing, il est également temps de penser aux sites et applications que vous allez créer pour vos clients demain ! Par exemple, quand on télécharge une application sur son smartphone celle-ci demande souvent d’accéder à certaines données comme la géolocalisation, ce genre de demande tombe également sous le coup de cette réglementation. Le RGPD comprend même tout un volet sur le « privacy by design », c’est-à-dire comment créer des services ou des produits qui respectent, de base dans leur conception, les données personnelles. Ne parlons même pas du webmarketing où nous adorons les formulaires de contact, de devis, de newsletter etc. il est temps de revoir tout ça à l’aune du RGPD. Un sujet passionnant ! Alors si vous tombez sur cet article, n’hésitez pas à nous contacter pour en discuter autour d’un verre à La Roche-sur-Yon avant mai 2018 !
