Qu’est-ce que le RGPD ?
Le Règlement Général sur la Protection des Données (RGPD) est un texte européen concernant les données personnelles. Il est entré en vigueur le 25 mai 2018 et s’applique à toutes les entreprises manipulant des données relatives à des citoyens européens, et ce même si la société est basée en dehors de l’Europe.
Des nouveaux droits voient le jour
En plus des droits déjà énoncés dans la Loi Informatique et Libertés de 1978, le RGPD applique des nouveaux droits concernant l’utilisation des données personnelles.
- Le droit d’accès aux données collectées concernant les utilisateurs et le droit de savoir à quels usages elles sont utilisées.
- Le droit d’information qui stipule que les utilisateurs doivent être informés par le site qui collecte des données les concernants sous réserve de consentement explicite (Opt-in).
- Le droit à la portabilité précise qu’une personne peut demander à récupérer l’ensemble des données le concernant auprès de n’importe quel organisme afin de les réutiliser.
- Le droit à la limitation du traitement qui permet à l’utilisateur d’exiger la limitation du traitement de ses données. Ainsi, même si les données sont stockées, une entreprise ne peut les utiliser. Néanmoins, ce droit ne peut se faire valoir que si le traitement est illicite ou si les informations récoltées sont inexactes.
- Le droit à l’oubli force une entreprise à supprimer toutes les données collectées d’un utilisateur si la demande lui est faite.
- Le droit de notification donne un délai de 72h aux entreprises pour informer un utilisateur en cas de fuite de ses données.
Comment se mettre en conformité avec le RGPD ?
A propos du consentement, l’opt-in n’est pas obligatoire en B2B, à condition que la communication soit en rapport avec le destinataire (domaine d’activité par exemple). En revanche, l’opt-in peut-être un levier de confiance par rapport à vos concurrents qui n’utilisent que l’opt-out.
En B2C, l’opt-in est obligatoire. Vérifiez que les données de vos contacts aient été récoltées avec un accord explicite.
Vos clauses de confidentialité et les formulaires de récolte d’informations doivent faire mention de l’utilisation qui sera faite de ces données.
Une procédure permettant aux utilisateurs de faire une demande de copie de leurs données personnelles est à mettre en place.
Concernant les mentions légales, une mise à jour est nécessaire afin de préciser le contexte de traitement des données personnelles : finalité, utilisation, temps de conservation mais aussi les droits que les utilisateurs possèdent sur leur données et leur procédure d’application.
→ La CNIL vous propose un guide listant l’ensemble des actions à mener pour se préparer au RGPD.
Quelles sont les sanctions en cas de non-conformité ?
En cas de non-conformité, les amendes s’élèvent à 4% du chiffre d’affaires ou jusqu’à 20 millions d’euros pour les infractions graves. Cela implique également un déficit d’image et de réputation de l’entreprise.
Des enjeux de sécurité au niveau informatique
Pour se conformer au règlement, de nouvelles contraintes et modes de gestion et d’exploitation des données sont à mettre en place. Les investissements au niveau informatique sont donc nécessaires.
La protection des données personnelles doit être intégrée dès la conception des systèmes de traitement des données afin de prévenir de la violation de données.
Avec un délai d’information des utilisateurs de 72h en cas de fuite de données, la surveillance doit être renforcée et la réponse aux incidents rapide.
La sensibilisation des collaborateurs sur ce sujet est un point important puisque l’humain reste la faille majeur en termes de cyber-sécurité.
Pour vous aider à vous mettre en conformité avec le RGPD, Cap Antigone vous accompagne.