RGPD, vous n’êtes pas encore prêt ? Eolas vous guide !

Lundi 07 mai 2018
L’entrée en vigueur du RGPD c’est pour le 25 mai : 4 questions pour tout comprendre et 4 étapes simples pour rentrer dans les clous d’ici-là.

Depuis plusieurs mois, vous en entendez parler presque tous les jours… pourtant, vous n’avez pas encore pris les choses en main et vous pensez ne pas pouvoir être prêt pour la date fatidique. Rassurez-vous, vous n’êtes pas les seuls retardataires. Selon une étude senzing menée en début d’année, 60% des entreprises interrogées ne sont pas prêtes.. Sachez surtout qu’à la date du 25 mai vous n’êtes pas tenu d’avoir mis en place l’ensemble des procédures mais plutôt de pouvoir prouver que vous avez commencé une réflexion sur le sujet.

C’est quoi ?

Pas de nouveauté redoutable, le Règlement Général sur la Protection des Données à caractère personnel (ou en anglais, GDPR pour General Data Protection Regulation) reprend les principes de la loi informatique et Liberté actuellement en vigueur en France (Loi n°78-17 du 6 janvier 1978 Informatique et Liberté du 06 janvier 1978 modifiée par la loi du 06 Aout 2004) et la renforce pour permettre une harmonisation européenne.

Comme précédemment, vous devrez toujours limiter la collecte des données personnelles, l’effectuer de façon transparente, avec consentement et sur une durée définie. Vous devrez assurer la sécurité de ces données et fournir aux propriétaires un droit à l’information, à l’opposition et à l’accès de leurs données.

Dorénavant, plus de déclaration de fichiers auprès de la CNIL mais un registre qui documente et justifie la conformité des traitements. Pour les traitements critiques, une analyse d’impact sera obligatoire. Deux nouvelles notions sont introduites : la Privacy by design pour l’intégration des exigences dès la conception et la security by default pour la sécurisation des infrastructures.

Dernier changement de taille : les sanctions. Autrefois plafonnées à 150 000€, celles-ci peuvent désormais atteindre jusqu’à 10 millions ou 2% du CA annuel mondial dans le cas d’un manquement aux principes du RGPD et jusqu’à 20 millions d’euros ou 4% du CA annuel mondial pour un manquement lié aux droits des personnes.

Pour tout savoir sur la réglementation, la CNIL propose un article complet et de nombreux outils pratiques : RGPD : comment la CNIL vous accompagne dans cette période transitoire

C’est pour qui ?

Toute entreprise dans l’Union Européenne (ou qui exerce son activité à destination des européens) qui collecte des données personnelles : Nom, prénom, Coordonnées GPS, e-mail, date de naissance, photo, numéro de téléphone, adresse postale, données médicales, adresse IP… Toute donnée qui peut permettre d’identifier directement ou indirectement une personne.

Les entreprises de plus de 250 salariés et les administrations publiques devront désigner un DPO, un Data Protection Officer. Il remplace le référent CNIL et sera le véritable chef d’orchestre de votre politique RGPD : il traite et gère les fichiers et registres et sert d’intermédiaire avec la CNIL. Le registre de traitement des données n’est pas obligatoire pour les autres structures mais nous vous le recommandons vivement, cela vous permettra d’être prêt en cas de contrôle et d’avancer plus sereinement.

Pourquoi ? L’objectif du RGPD est de redonner aux citoyens la maîtrise de leurs données. C’est aussi une chance à saisir pour votre activité ! En vous conformant au RGPD, vous renforcez la confiance de vos clients et mêmes de vos prestataires : vous leur montrez que vous êtes digne de confiance, que vous respectez la loi et que vous respectez vos clients et partenaires.

Vous pouvez également prendre cette contrainte comme une réelle occasion de faire le tri dans vos fichiers et dans vos pratiques : une gestion plus rigoureuse vous permettra sûrement d’améliorer dans le même temps votre efficacité commerciale !

Comment ?

On vous le répète : vous n’avez pas besoin d’être complètement à jour dès le 25 mai, par contre, vous devez être en capacité de prouver que vos démarches sont entamées. Alors par où commencer ? Dans quel ordre s’y prendre ? Voici un plan d’action simple :

1/ Recensez vos fichiers

Vous devez lister tous vos fichiers comportant des données personnelles : numériques ou papier et dans tous vos services. Téléchargez le modèle de registre de traitement des données et précisez pour chacun d’eux, entre autre :

  • La finalité du traitement (commercial, fidélisation, fournisseurs, RH…)
  • Les types de données recueillies
  • Les utilisateurs potentiels du fichier
  • La durée de conservation

2/ Faites le tri

Pour chaque traitement, demandez-vous s’il est réellement utile, s’il ne l’est pas ou plus, supprimez-le, tout simplement. Sur les fichiers que vous conservez, demandez-vous si toutes les données vous sont utiles, là encore, supprimez ce qui ne vous sert pas (il est parfois inutile de collecter un nom et prénom pour un abonnement à une newsletter).

Vérifiez que vous ne traitez pas des données sensibles (données médicales, religion, santé, orientation sexuelle, empreintes digitales, opinion politique…), si c’est le cas, assurez-vous que c’est nécessaire et que vous en avez le droit.

3/ Sécurisez les données

Pour tous ces traitements, vérifiez que le niveau de sécurité est suffisant : comptes utilisateur protégés par des mots de passes complexes, procédure de sauvegarde/récupération des données, locaux physiquement protégés des intrusions… Et plus particulièrement pour les données sensibles. Vous êtes responsables des données que vous conservez, qu’elles se trouvent chez vous ou chez un prestataire ainsi que de tous les traitements effectués.

4/ Mettez en place les bonnes pratiques

Lorsque vous collectez des données personnelles vous devez être totalement transparent : indiquez dans quel but vous les récupérez, le fondement juridique (ce qui vous autorise à effectuer ce traitement : consentement, exécution d’un contrat, obligation légale…), qui aura accès à ces données et combien de temps vous allez les conserver. Vous devez également permettre aux personnes concernées de consulter, modifier ou supprimer toutes ces données. Faites-en sorte que cette démarche soit simple et accessible.

De façon très opérationnelle, repassez sur chacun de vos formulaires de collecte pour supprimer les champs inutiles, mettez à jour les mentions nécessaires, vérifiez que le consentement est toujours demandé explicitement (case à cocher dédiée à la collecte du consentement) et ajoutez un moyen de contact pour l’accès aux données. Si vous utilisez des outils de tracking, pensez également à vérifier votre bandeau CNIL et à fournir à l’internaute un moyen pour gérer ses cookies. Les GAFA tels que Google et Facebook, qui utilisent ces cookies vous ont sûrement déjà contacté pour mettre à jour leurs conditions.

Eolas dans tout ça ?

En tant que sous-traitant, votre agence web Eolas met tout en œuvre pour vous permettre de vous conformer au RGPD. Nous prenons en considération les nouvelles règles et mettons en place toutes les mesures nécessaires pour la protection des données dès la réalisation des projets et également dans nos produits. Par exemple, les formulaires ont été adaptés dans CMS.eolas, afin que vous puissiez facilement vous mettre en conformité. De plus, selon le choix du responsable de traitement, nous avons également l’obligation de supprimer les données périmées ou qui ne répondent plus aux exigences du règlement et de répondre aux demandes des clients qui concernent ces fichiers : modification, mise à jour, rapatriement des données chez le client .

Enfin, les sous-traitants ont une obligation de conseil dans le cadre des études d’impact sur la vie, privée, de contribution aux audits réalisés par les clients ainsi qu’un devoir d’alerte en cas de faille de sécurité ou de risque concernant la sécurité des données. Dans ce cadre, Eolas est mobilisé, en tant qu’hébergeur, éditeur de solution et spécialiste en webmarketing, nous vous accompagnons sur tous les volets du RGPD.

Si vous souhaitez en savoir plus, n’hésitez pas à nous contacter !

CONTACT