Que vous soyez chef d’entreprise, entrepreneur ou salarié, le RGPD vous concerne.
Si vous êtes un internaute, c’est-à-dire, un utilisateur d’Internet (moteur de recherche, réseaux sociaux, Vidéos, etc.) vous êtes doublement concerné par la protection des données.
Qris France vous propose un guide pratique, simple et efficace.
Le RGPD, qu’est-ce que c’est?
Les lettres RGPD signifient simplement Règlement Général sur la Protection des Données
Texte voté en avril 2016, il sera appliqué à partir du 25 mai 2018.
Le nouveau texte de référence en matière de protection de données personnelles au sein de l’UE. Il remplace la directive européenne de 1995 et unifie les différentes régulations existantes au niveau des états.
En bref, ce règlement contribue à protéger les données à caractères personnelles de tout individu au sein des 28 états membres de l’Europe.
À quoi sert le RGPD ?
Ce Règlement Général sur a pour vocation d’encadrer et de protéger vos données personnelles.
Chaque entreprise devra respecter les 3 règles suivantes :
- Collecter uniquement les informations nécessaires et légitimes.
- Protéger les données et les utiliser uniquement à des fins légales et en accord avec le propriétaire des données.
- Ne jamais revendre ou distribuer vos données à d’autres entreprises sans votre accord signé.
Le RGPD, est-ce que je suis concerné ?
Le RGPD concerne toutes les entreprises et organisations qui travaillent avec des données appartenant à des citoyens européens, indépendamment du fait qu’elles soient ou non implantées en Europe.
Donc si une entreprise utilise des données personnelles, elle doit s’assurer de respecter le RGPD.
Si vous ne collectez aucune données personnelles sur vos clients, vous n’êtes pas concerné par le RGPD.
Quelles données sont concernées?
Deux notions essentielles sont à retenir :
Donnée à caractère personnelle :
Toute information se rapportant à une personne physique identifiée et identifiable.
Nom, prénom, sexe, date et lieu de naissance, adresse IP, situation familiale, militaire, formation, diplômes, adresse, situation économique et financière, moyens de déplacements, utilisation de médias et moyens de communications
Donnée sensible :
Il s’agit des origines ethniques, des opinions politiques, philosophiques, religieuses, des appartenances syndicales des personnes, des données biométriques aux fins d’identifier une personne de manière unique.
Il y a aussi les données concernant la santé, les données génétiques, les données relatives à la vie sexuelle ou l’orientation sexuelle, les condamnations pénales et infractions aux mesures de sûreté connexes.
Dans votre quotidien, vous ne le réalisez plus mais vous partagez un grand nombre de données à caractère personnelle sur le web. Et surtout, votre entreprise en collecte également beaucoup auprès de vos clients…
Ce sont ces mêmes informations, ici appelées données à caractère personnel, qui seront encadrées et protégées par ce fameux RGPD.
Les 6 principes à respecter en matière de protection des données :
1. Licéité, transparence et loyauté
L’utilisation des données doit être autorisée par le client. Il doit être informé de leur utilisation réelle.
2. Limitation des finalités
Informer le client sur l’utilisation de ses données.
3. Minimisation des données
Récolter seulement les informations nécessaires. Communiquer aux sous-traitants seulement les informations indispensables pour leur mission.
4. Exactitude
Une procédure doit être mise en place pour assurer la mise à jour des données.
5. Limitation de la conservation
Supprimer les données dont le cabinet n’a plus besoin et respecter les délais de conservation.
6. Intégrité et confidentialité
Limiter l’accès aux données personnelles seulement aux personnes qui en ont vraiment besoin pour éviter toutes sanctions.
Les 5 actions de base à mettre en place ?
- Vous collectez uniquement les données légitimes dont votre entreprise a besoin
- Vous informez vos clients sur l’utilisation de ces données
- Vous ne communiquez ces données à personne et vous les utilisez uniquement dans le cadre de votre mission avec l’accord écrit de votre client
- Vous mettez à jour votre utilisation d’Internet et des campagnes d’emailing
- Vous supprimez les données des clients après leur départ en fonction du légal de conservation spécifique à votre secteur.
Le RGPD et vos campagnes d’emailing
Pour les emails marketing et les newletters, il va falloir être plus prudent et respecter quelques règles :
Le double opt-in remplace l’opt-in automatique
Vous collectez des adresses e-mail sur votre site web ?
Avec le RGPD, vous ne pourrez plus utiliser de case pré-cochée dans les formulaires d’inscription à votre newsletter.
Par défaut, cette case devra être décochée.
Ensuite, vos futurs contacts recevront un email de confirmation et ils devront cliquer sur un lien avant d’être ajouté à votre carnet d’adresse. Ce système de double validation vous assure que vos contacts désirent réellement recevoir vos emailings.
Vous aurez peut-être moins d’inscrits à votre newsletter mais vous aurez également moins de désinscription… Vos lecteurs auront choisi de recevoir vos emails.
Vous remplacez la quantité par la qualité.
Plus d’achats de listes d’adresses en masse !
Évitez à tout prix l’achat de listes d’adresses en masse. Le consentement doit être donné de façon « libre, spécifique, éclairée et univoque“ selon l’article 4 du RGPD.
Gardez une trace du consentement de vos contacts peut vous être utile en cas de litige.
Un désabonnement facile
Assurez-vous de proposer un système de désabonnement simple et facile.
- Pas de liens cachés
- Un désabonnement en un seul clic
Déplacer des contacts d’une liste à une autre, c’est fini !
Beaucoup d’entreprises ont tendance à considérer qu’une personne qui leur donne leur adresse mail est d’accord pour recevoir n’importe quel email.
À partir du 25 mai 2018, il faudra un consentement clair et distinct pour chaque utilisation qui sera faite d’une information personnelle.
Si vous avez plusieurs entreprises dans des secteurs différents comme la restauration et le tourisme, vous ne pouvez transférer votre fichier client d’une société à une autre.
Vous devez envoyer une newsletter classique à vos abonnés pour leur présenter votre autre entreprise afin de leur proposer de s’abonner à une seconde newsletter.
Si vous avez deux utilisations de données, vous avez besoin de deux consentements.
Plus de fuites secrètes de données !
Si un jour, vous subissez une fuite de donnée, vous avez 72 heures pour prévenir vos abonnés.
La fuite de donnée est un élément important du RGPD. Vous devez assurer la protection des données à caractère personnel de vos clients. Si votre site web, votre réseau ou vos bureaux sont attaqués, prévenez les autorités dans les 72 heures.
Pour limiter les risques, anticipez et mettez en place les bonnes procédures en interne.
Droit à l’oubli
L’article 17 prévoit que toute personne peut obtenir d’un responsable de traitement l’effacement, dans les meilleurs délais, de données personnelles la concernant dans six cas énumérés.
- Les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées.
- Le consentement était nécessaire lors de la collecte des données.
- La personne exerce son droit d’opposition « pour des raisons tenant à sa situation particulière ». Le responsable de traitement doit démontrer l’existence de motifs légitimes et impérieux pour s’y opposer. La personne exerce son droit d’opposition à tout moment dans les cas de prospection et de profilage lié à celle-ci.
- Les données ont fait l’objet d’un traitement illicite.
- Elles concernent un mineur.
- L’effacement est prévu par une obligation légale (nouvelle loi ou décision de justice par exemple).
Le RGPD en bref !
- Vous collectez uniquement des informations légitimes, dont vous avez besoin.
- Vous informez le client sur l’utilisation de ses données.
- Le consentement de vos destinataires doit maintenant être explicite et positif — fini les cases pré-cochées.
- Pas de communication ou de vente de données de vos clients. Vous les utilisez uniquement dans le cadre de votre mission avec son accord écrit.
- Vous supprimez les données dont vous n’avez plus besoin, et au plus tard, à la fin du délais légal d’archivage de votre secteur d’activité.
- Création d’un registre de traitement des données si l’audit indique qu’il est nécessaire.
- Si vous subissez une fuite de données, vous devez informer les autorités dans les 72 heures.
- Les peines sont plus sévères en cas de manquement ou de fuite de données — allant d’une simple mise en garde à une amende de plusieurs millions d’euros en passant par une amende s’élevant à 4% du chiffre d’affaires international de l’entreprise.
- Enfin, Le droit à l’oubli s’est imposé. Ainsi, vous devez être en mesure de supprimer les données concernant vos destinataires.
Vous vous posez des questions par rapport à votre entreprise ?
Contactez-nous ! Nous sommes là pour vous accompagner.
Merci pour votre lecture, j’espère que cela vous aide à mieux comprendre ce nouveau sujet.
Si vous avez aimé, partagez l’article avec vos amis.
Laisser un commentaire
Participez-vous à la discussion?N'hésitez pas à contribuer!