RGPD, ce mot que l’on ne peut ignorer. Il signifie Règlement Général sur la Protection des Données.
Vous êtes concerné par le RGPD si vous avez un site et que vous collectez les données personnelles de vos prospects ou clients et si vous effectuez un suivi des visiteurs à des fins de ciblage publicitaire.
Ce règlement européen a trois objectifs :
- Consolider les droits des personnes
- Renforcer les pouvoirs des autorités européennes
- Responsabiliser les entreprises qui traitent les données à caractère personnel
Vous devez vous mettre en règle sur les aspects suivants :
- Le consentement clair et loyal : vous devez avoir l’accord des personnes concernées pour traiter leurs données personnelles.
- Le droit à l’information: lorsque vous collectez des données, vous devez informer la personne de votre identité, de l’objectif de la collecte, de son caractère obligatoire ou facultatif et des destinataires s’il y en a d’autres que vous. Vous devez aussi communiquer pourquoi vous traitez les données et combien de temps elles seront stockées.
- La sécurité : Vous devez sécuriser les données avec un niveau adapté au risque et en documentant les mesures que vous mettez en place.
- Le droit d’accès: toute personne dont vous avez les données doit pouvoir obtenir l’accès aux données que vous traitez sur elle.
- Le droit de rectification: la personne a le droit de demander que ses données soient rectifiées
- Le droit à l’oubli : les données des personnes qui en font la demande doivent être supprimées dans les meilleurs délais. Si ces données ont été transmises à des tiers, vous devez informer ces tiers pour qu’ils les effacent.
- Le droit à la limitation du traitement : une personne peut vous demander de ne pas traiter ses données, ce qui vous octroie seulement le droit de les stocker.
- L’obligation de notification : vous devez communiquer aux gens toute rectification ou effacement de leurs données.
- Le droit à la portabilité des données : toute personne peut demander à récupérer ses données pour pouvoir changer de fournisseur.
- Le droit d’opposition : toute personne peut refuser que vous traitiez ses données, y compris à des fins de profilage marketing ou de marketing direct.
- Le droit de ne pas être soumis à une décision individuelle automatisée : toute personne peut refuser que ses données soient traitées par des systèmes automatisés. Par exemple des algorithmes ou des intelligences artificielles qui font du profilage publicitaire.
- L’information obligatoire en cas de piratage : vous devez notifier à l’autorité de contrôle les violations de données ainsi que la personne si ses données sont exposées à un risque ou si elles ont été piratées.
- Le registre sur les traitements de données : c’est ce document qui vous sera demandé en cas de contrôle d’une autorité de surveillance dans votre pays.
Si vous avez des formulaires de capture, vous pouvez les adapter comme suit :
Pour un formulaire de capture d’email, vous spécifiez clairement, sous ce formulaire :
– Que le nom et adresse email sont enregistrés dans votre base de données.
– Qu’en appuyant sur le bouton d’envoi, la personne accepte de recevoir, le document, le cadeau ou le livre blanc et (si c’est le cas) vos messages et vos offres.
– Pointez sur votre Politique de confidentialité.
– Précisez qu’elle peut se désinscrire à tout moment en vous contactant par email ou à travers les liens de désinscription.
S’il s’agit d’un formulaire de vente et que vous captez les données pour envoyer des informations et des offres, vous devez avoir une case à cocher qui dit :
– En cochant cette case, vous acceptez de recevoir nos messages et vos offres.
N’oubliez pas que dans tous les cas, vous devez garder la preuve du consentement de la personne.
Voici 3 étapes pour vous mettre en conformité :
1. Ayez une vision et une gestion de vos données sans angle mort
Vous devez avoir une vision complète de vos données. C’est-à-dire cartographier les flux de données, leur nature, comment elles entrent, comment, où et par qui elles sont traitées.
2. Supprimez les données lorsqu’elles ne sont plus nécessaires
Il s’agit du droit à l’oubli : les données personnelles ne sont utilisées que pour les raisons pour lesquelles elles ont été collectées. Vous devez pouvoir localiser et supprimer rapidement des données si un citoyen vous le demande.
3. Identifiez les risques d’incident
Les brèches possibles. Comme un piratage ou une fuite de données. Identifier les actions à mettre en place pour mitiger ces risques. Vous devez pouvoir signaliser une faille dans les 72 heures.
Enfin nommez une personne ou un prestataire en charge de la gestion des données privées de votre organisation.
Les sanctions en cas de non-respect varient en fonction des infractions et vont d’un simple avertissement à une amende pouvant aller jusqu’à 4% du CA et 20 millions d’euros.
Ce billet et cette vidéo ne remplacent pas un conseil juridique adapté à votre situation. Faites appel à un juriste pour vous mettre en conformité.