Le RGPD (Règlement Général sur la Protection des Données) s’impose en Europe depuis 2018 pour harmoniser les lois des différents pays, simplifier la libre circulation des données en Europe et accentuer la sécurité des données que possèdent les entreprises. En France, la CNIL est l’autorité compétente en matière de protection des données. Mais comment appliquer le RGPD ?
Les bases légales du traitement de Données à Caractères Personnels
Une entreprise doit appliquer le RGPD dès qu’elle réalise un traitement de données à caractères personnels, tels que : collecte, conservation, modification, extraction, utilisation, diffusion, effacement ou destruction. Les prestataires de services doivent également respecter les obligations relatives au traitement. Pour traiter des données, l’une de ces conditions doit être respectées :
- La personne a consenti au traitement de ses données à caractère personnel (ex : Case à cocher sur un site internet)
- Les données sont essentielles pour exécuter un contrat ou des mesures pré-contractuelles, à la demande de l’utilisateur
- Le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis (ex : achat d’un terrain)
- Le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne (ex : en cas d’urgence médicale, recueil du groupe sanguin)
- Le traitement relève de l’exercice de l’autorité publique dont est investi le responsable du traitement (ex : démêlés avec la justice)
- Le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée (ex : lorsque vous traitez des données à caractère personnel à des fins de prospection, pour prévenir la fraude ou garantir la sécurité du réseau et des informations de vos systèmes informatiques.)
La prospection commerciale par courrier électronique
Pour la prospection commerciale vers les particuliers (Business to Customer), il faut l’accord préalable du destinataire, excepté :
- Si la personne prospectée est déjà cliente de l’entreprise et que la prospection concerne des produits ou services analogues
- Si la prospection n’est pas de nature commerciale (caritative par exemple)
Dans ces deux cas, la personne doit être informée que son adresse mail sera utilisée pour la prospection et être en mesure de s’y opposer simplement et gratuitement.
Pour la prospection commerciale vers les professionnels (Business to Business), l’entreprise doit informer le prospect, au moment de la collecte de son adresse mail, qu’elle sera utilisée pour la prospection. Mais l’objet de prospection doit être en rapport avec la profession de la personne démarchée. Il faut également laisser la possibilité au prospect de s’opposer à cette utilisation.
Les adresses professionnelles génériques (de type info@nomsociete.fr, contact@nomsociete.fr) sont des coordonnées de personnes morales. Elles ne sont pas soumises aux principes du consentement et du droit d’opposition.
Les droits des utilisateurs
L’utilisateur a le droit d’accès aux informations que l’entreprise possède sur lui. Il a le droit à la rectification, et à l’effacement. Et il doit en être informé de façon transparente, compréhensible et accessible. Plus concrètement, dans chaque mail envoyé, vous devez l’informer de la possibilité d’accéder, rectifier ou supprimer ceux-ci. Si l’utilisateur fait une demande concernant ses informations, l’entreprise doit y répondre dans un délai d’un mois.
Les obligations du traitement de données personnelles
L’entreprise est limitée, elle ne doit collecter que les données utiles à ses finalités. Elle doit être transparente et loyale envers les personnes et doit protéger les données en sa possession. Les données ne doivent pas être conservées plus de 3 ans après le dernier échange avec l’utilisateur, sauf contre indications légales ou contractuelles. En cas de perte des données, l’entreprise doit en informer la CNIL dans un délai de 72h.
L’entreprise doit pouvoir démontrer qu’elle a encadré la protection des données personnelles et prouver leur conformité au RGPD avec le registre de traitement.
Le registre de traitement
Tous les organismes ont l’obligation de tenir un registre des traitements dès lors qu’ils traitent des données personnelles.
Les organismes de plus de 250 salariés, ou dont l’activité principale consiste en un traitement de données personnelles, ont l’obligation de désigner un Délégué à la Protection des Données (DPO) auprès de la CNIL.
Les organismes de moins de 250 salariés doivent seulement inscrire au registre les traitements de données suivants :
- les traitements non-occasionnels (exemple : gestion de la paie, gestion des clients/prospects et des fournisseurs, etc.) ;
- les traitements susceptibles de comporter un risque pour les droits et libertés des personnes (exemple : systèmes de géolocalisation, de vidéosurveillance, etc.)
- les traitements qui portent sur des données sensibles (exemple : données de santé, infractions, etc.).
Le registre de traitement contient au minimum :
- Identité et coordonnées du responsable de traitement ;
- Finalités de traitement ;
- Catégories de personnes concernées ;
- Catégories de données à caractère personnel ;
- Catégories de destinataires ;
- Transferts vers un pays tiers ou une organisation internationale ;
- Délais prévus pour l’effacement ;
- Description générale des mesures de sécurité techniques et organisationnelles.
Appliquer le RGPD peut paraitre contraignant, mais il apporte quelques avantages. Une structure qui communique sur le respect de sa conformité auprès de ses clients, véhicule une image de fiabilité. De plus, une entreprise qui garantit sa conformité au règlement pourra être éligible à certains appels d’offre l’exigeant. Vous pouvez également faire appel à un professionnel pour tenir à jour votre registre des traitements.
CDI 3.0 vous conseil Florian BOYENVAL, de la société DP FLOW. Il fait du conseil en mise en conformité au RGPD et est DPO externalisé. Vous pouvez le contacter à l’adresse mail bonjour@dpflow.eu pour vos demandes.
