Il y a quelques jours, le Règlement Général sur la Protection des Données fêtait ses 4 ans ! L’occasion pour nous de faire le point sur cette politique européenne de protection des données ainsi que de rappeler les bonnes pratiques et les sanctions en cas de non-respect des règles émises au sein de l’union européenne.
Le RGPD c’est quoi ?
Il s’agit d’un texte européen qui crée un cadre légal pour la protection des données personnelles des 700 millions d’européens qui naviguent quotidiennement sur le web. Le texte, qui est entré en application en 2018, donne de nouveaux devoirs en matière de traitement des données aux entreprises qui vendent des services ou produits via internet.
Pour rappel, la CNIL définit une donnée personnelle comme « toute information se rapportant à une personne physique identifiée ou identifiable ». La définition de traitement des données, quant à elle, englobe de nombreuses situations, que ce soit la collecte, l’enregistrement, la conservation, l’utilisation, la transmission, etc. d’informations sensibles. Concrètement, ces deux définitions sont assez larges pour n’exclure aucun de figure, et ainsi contraindre les entreprises à respecter le RGPD si celles-ci veulent utiliser le contenu collecté.
Le responsable du traitement des données est la garant de la bonne application du RGPD
Au sein de votre entreprise, vous devez désigner un(e) responsable du traitement des données, aussi appelé DPO (Data Protection Officer). Il devient le garant de l’application du règlement et du déploiement des bonnes pratiques au sein de l’écosystème virtuel de l’entreprise.
Il est aussi primordial de rappeler que le RGPD s’applique à toute organisation qu’elle soit publique ou privée, quelle que soit sa forme juridique, sans oublier les sous-traitants. Une entreprise de nationalité française devra respecter le RGPD même si elle est tournée vers l’export, une entreprise étrangère devra respecter le RGPD pour ses clients français.
Bien sûr comme tout règlement, en cas de refus ou mauvaise application du texte de loi, des sanctions peuvent être appliquées.
Après avoir rappelé rapidement la définition du RGPD, nous allons en nous basant sur les recommandations de la CNIL, rappeler les bonnes pratiques en matière de collecte, d’utilisation et de stockage des données personnelles.
Les bonnes pratiques à suivre en matière de RGPD
Soyez transparents sur l’usage des données collectées.
La première étape est d’informer les personnes à chaque fois que vous allez récupérer leurs données personnelles. Pour cela et ce qu’importe la nature du support qui va collecter les données, celui-ci doit faire apparaitre les éléments suivants :
- La raison de la collecte des données
Le consentement de la personne ou l’autorisation juridique qui vous donne le droit à la moisson des données - Les différents destinataires : précisez si seulement vous ou une tierce personne auront accès aux données
- La durée de conservation de celles-ci
- Les modalités pour les usagers concernés de vous contacter afin d’exercer leurs droits sur leurs données (suppression, modification, ajout)
Permettez facilement aux personnes concernées d’appliquer leurs droits à la vie privée
Informez les usagers concernés sur la façon de vous contacter est une obligation, mais une fois cette information communiquée vous devez vous y tenir. Vous avez l’obligation de leur donner réellement les moyens de facilement vous contacter, comme par exemple, avec un formulaire sur votre site internet. Formulaire que notre équipe peut mettre en place sur votre site.
En cas de sollicitations par email ou par écrit, vous devez rapidement prendre en compte les réclamations. Enfin, n’hésitez pas à mettre en place une procédure en interne pour fluidifier au maximum les recours.
Mettez régulièrement à jour votre fichier RGPD
C’est l’étape qui peut vous sembler la plus laborieuse, mais elle doit être réalisée régulièrement. Entretenez votre fichier de données personnelles, mettez le à jour, désherbez le : une fois le délai de conservation passé, si la procédure n’est pas automatique, supprimez les données concernées. Vous pouvez aussi enrichir votre fichier avec des nouvelles sous-catégories comme par exemple en cas de recours à un sous-traitant pour la collecte de données.
Sécurisez vos données !
Si la sécurité informatique doit être votre priorité absolue, elle est d’autant plus indispensable pour les données stockées de vos clients ou prospects. Limitez l’accès au registre aux seules personnes habilitées, évitez d’éparpiller vos données dans plusieurs lieux de stockages, veillez aux mises à jour de sécurité du serveur les hébergeant. Vous pouvez vous rapprocher de Younicom pour un audit gratuit de votre site qui englobe la sécurité de vos données.
Quel bilan après 4 ans de RGPD ?
Les deux premières années de vie du RGPD ont pu laisser croire que ce règlement n’allait pas être appliqué avec de nombreuses plaintes déposées et un temps de traitement qui ne fut pas immédiat. Mais ce ne fut pas le cas, en effet les amendes ont commencé à être distribuées par les états membres au fur et à mesure. Et même s’il y a encore un an leur montant total était relatif (300 millions d’euros), les mégas sanctions qui viennent d’être prononcées montrent un changement de ton avec le durcissement des montants.
En effet, le Luxembourg vient ainsi d’infliger près de 750 millions d’euros d’amende à Amazon alors que l’Irlande vient de sanctionner WhatsApp à hauteur de 225 millions d’euros. Et ce n’est pas fini, de nombreuses procédures sont encore en cours.
Pour tirer un bilan qualitatif du texte, il ne faut pas prendre en compte le seul montant des amendes.
La perception des données personnelles évolue au sein des entreprises
La bonne nouvelle de cet anniversaire, c’est que le RGPD devient une pratique récurrente au sein des entreprises. Pour arriver à ce résultat, les nombreux contrôles effectués par la CNIL « ont aidé » les directions générales des entreprises à valider un processus RGPD efficient et à débloquer au besoin des fonds pour sa bonne gestion.
Enfin, la perception des entreprises en la matière est aussi un facteur encourageant.
Plus d’une entreprise sur deux estime avoir un niveau de conformité avancé en matière de politique de traitement des données. Même si ce chiffre peut être un peu surestimé, la part des salariés plus attentifs à la protection des données et elle aussi en hausse. Des impressions de bon augure pour la suite et pour le respect de la confidentialité des consommateurs.
Un des aspects les plus visibles du RGPD est l’intégration et la gestion de cookies pour les sites internet des entreprises. Vu sous cet angle le RGPD est plutôt une réussite puisque quasiment 7 sites internet sur 10 d’entreprises intègrent désormais une plateforme de gestion du consentement des cookies. Si votre plateforme de consentement n’est pas encore installée, vous pouvez externaliser cette tache auprès de Younicom.
Après 4 ans d’existence, l’application du RGPD est définitivement rentrée dans les habitudes des entreprises
Après une mise en place qui a pu connaître des débuts laborieux, le règlement général sur la protection des Données est une réalité pour de nombreuses sociétés. Le processus de collecte des données personnelles a été rendu plus transparent et leur utilisation est désormais connue du grand public.
La possibilité offerte aux internautes quand à la modification ou l’accès simple aux informations divulguées est également simplifié.
Bien sûr, il reste encore du chemin à faire et l’affaire Google Analytics en est un bon exemple, néanmoins le RGPD a fortement contribué à remettre de l’ordre dans des pratiques parfois à la limite de la légalité concernant vos données personnelles.
Ne prenez pas de risque en cas de contrôle de la CNIL, de nombreux clients, comme le forum des professions libérales, nous ont confié la gestion RGPD et cookies de leur site, faites comme eux et contactez notre équipe pour un audit gratuit de votre site web.