RGPD

Règlement Général sur la Protection des Données

Protéger les données privées de vos clients grâce à la RGPD ? Vous le savez sûrement, les données de vos clients sont sensibles et méritent d’être protégés. C’est pour cela que l’Union Européenne, avec l’aide de la CNIL ont mis en place la RGPD en mai 2018.

 

 

 

Mais qu’est-ce que la RGPD ? Et ses objectifs ?

La RGPD (Réglementation Générale pour la Protection des Données), permet de créer un cadre judico-institutionnel. La CNIL est l’autorité compétente et est chargée du contrôle et des sanctions en cas de non respect du règlement. Cette réglementation ne s’applique que dans les relations BtoC (entreprise/client).

3 objectifs sont clairement définis dans le but de réinjecter de la confiance :

  • renforcer les droits des personnes : création d’un droit à la portabilité des données personnelles 
  • responsabiliser les acteurs
  • crédibiliser la régulation avec des sanctions dissuasives

 

Comment traiter les données personnelles en concordance avec la RGPD ?

La CNIL définit les données personnelles comme des informations se rapportant à une personne physique qui peut être identifiée et identifiable. Ces données doivent être légitimes, déterminées, transparentes, conservées et autorisées.

Pour acquérir les données personnelles de vos clients, vous devez leur dire pourquoi elles sont utilisées (par qui, quelle durée et à quelle fin). En effet, chaque client doit donner son accord “express” : c’est à dire que l’accord doit être “signé” par le client. Il peut s’agir de la mise en place d’une petite case à cocher, distincte des CGV. (Conditions Générales de Vente).

Les droits des clients :

  • l’information
  • l’accès à leurs données personnelles
  • la rectification
  • l’effacement

 

Comment mettre en place la RGPD au sein de votre entreprise ?

Pour mettre en place la RGPD, plusieurs personnes sont indispensables. Dans un premier temps, on peut parler du responsable du traitement. Il s’agit généralement de la personne morale incarnée par son représentant légal. C’est à dire que pour une entreprise, le responsable du traitement est le directeur. Il se doit de maîtriser le contenu technique ainsi que d’avoir une vision globale des activités de la société car il s’occupe des formalités déclaratives auprès de la CNIL.

Dans un second temps, on peut citer le DPO (Délégué des données personnelles). C’est un chef d’orchestre de la conformité de l’entreprise, il doit justifier de connaissances en matière de protection des données et/ou de compétences organisationnelles. Son indépendance vis à vis de la direction est indispensable pour mener ses missions. Son rôle est de conseiller, contrôler, former et auditer. Cependant, toutes les structures ne sont pas concernées (voir paragraphe 4 et 5).

Que ce DPO soit recruté en externe ou qu’il soit déjà dans l’entreprise, il doit être complémentaire avec le responsable du traitement.

 

RGPD et sous-traitance, comment se mettre en conformité ?

Dans la RGPD, le sous-traitant est défini comme la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable de traitement qui impose un contrôle effectif sur le sous-traitant.

Le sous-traitant est toutefois :

  • tenu de présenter une sécurité et une confidentialité des données,
  • susceptible d’être considéré comme responsable de traitement s’il est très autonome par rapport aux finalités et moyens du traitement de données

Le sous-traitant devient donc lui même responsable, il convient donc être attentif à ces nouvelles obligations. Il faut toujours un contrat client-sous-traitant, qui doit définir l’objet et la durée du traitement, sa nature et sa finalité, le type de données personnelles et les catégories de personnes concernées.

 

Comment sont tenus les registres dans le cadre de la RGPD ?

Le registre des activités de traitement permet de recenser vos traitements de données personnelles dans le détail et de disposer d’une vue d’ensemble de ce que vous faites avec. Les activités de l’entreprise doivent êtres cités dans ce registre. Il peut être élaboré par différentes personnes selon la situation : le responsable direct du traitement, le DPO, ou encore le sous-traitant.

Du côté du registre des clients, l’entreprise doit conserver un registre mais cette fois-ci des clients en citant client par client. Il faudra évidemment justifier le fait que ces données soient gardées.

 

Un outil pour rassembler vos données : comment cela fonctionne ?

Dans un soucis de rapidité et de centralisation des données, le logiciel de GED (Gestion Electronique des Documents) permet de maîtriser les flux de données plus simplement, tout en conservant les historiques et la traçabilité qui s’imposent.

De plus, la GED non seulement permet un stockage optimisé, mais exploite automatiquement les données issues des documents grâce à des systèmes de reconnaissance numérique. Ainsi, elle permet de récolter et d’analyser des données électroniquement plutôt que manuellement : une économie de ressources.

Installer ce type de logiciel a trois objectifs finaux :

  • la rationalisation des opérations
  • la suppression des données inutiles
  • la limitation du traitement aux informations essentielles

Le numérique, c’est aussi la signature électronique :

La signature électronique permet d’être RGPD compliant. Les entreprises et les particuliers peuvent automatiser leurs flux de données et signer n’importe quel document, à tout moment et sur tous les appareils: on parle de dématérialisation.