101 millions d’euros : c’est le montant total des sanctions adressées par la CNIL (Commission nationale informatique et libertés) aux organismes n’ayant pas respecté le RGPD (Règlement Général sur la Protection des Données). Pour un tiers d’entre elles, il s’agit d’un manquement à la sécurité des données personnelles. En tant que professionnel, vous devez être certain de respecter la vie privée de vos prospects, clients et salariés. Découvrez nos conseils pratiques pour vous mettre en conformité avec les exigences du RGPD.
La protection de la vie privée en ligne : les bases légales
Des principes juridiques régissent le droit à la protection des données personnelles. En France, le RGPD s’applique depuis le 25 mai 2018.
Les données personnelles
La protection de la vie privée en ligne est une préoccupation majeure pour 9 Français sur 10. Les données personnelles sont des informations permettant d’identifier directement ou indirectement une personne physique. Par exemple : le nom, le prénom, la date de naissance, mais aussi l’adresse, le numéro de compte bancaire, l’adresse IP ou encore un profil de réseau social.
Vous serez certainement amené à manipuler des données personnelles au cours de votre activité. Ce sera notamment le cas si vous avez un fichier clients, un fichier prospects ou des salariés.
Le champ d’application du RGPD
Le RGPD encadre le traitement des données privées au sein de l’Union européenne. Si vous êtes une entreprise domiciliée dans l’UE, vous devez l’appliquer.
Si votre entreprise a son activité hors de l’UE, le RGPD entre en vigueur quand vous ciblez des résidents européens.
Exemple : une entreprise e-commerce dont le siège social est basé en Chine, mais livrant ses produits en France doit respecter le RGPD.
Les cas d’application des règles de protection des données privées
Les règles de protection des données personnelles s’appliquent lors :
- De la collecte (par exemple via un formulaire en ligne ou un coupon papier) ;
- Du traitement (enregistrement, modifications, organisation…) ;
- De la conservation (stockage de données personnelles dans un fichier client ou dans la base de données de votre site e-commerce).
Vous devez rendre votre traitement des données conforme au RGPD, de la collecte à la conservation. En cas de manquement, des sanctions sont prévues par la CNIL : amende jusqu’à 4 % du chiffre d’affaires mondial de l’entreprise. Sur le plan pénal, les infractions peuvent entraîner des amendes allant jusqu’à 750 000 euros, pour une personne physique et 4 millions d’euros, pour une personne morale.
Respect de la vie privée en ligne : les obligations des professionnels
Toute entreprise est pleinement responsable de sa conformité au RGPD. De bonnes pratiques sont à respecter pour garantir la protection des données collectées.
Collecter les données dans un but précis
Si vous vous apprêtez à recueillir des données personnelles en ligne dans le cadre de votre activité, la première question à vous poser est « Pourquoi ? ». Définissez votre but : fidéliser votre clientèle par l’envoi de newsletters, créer des comptes clients pour gérer leurs commandes sur votre site e-commerce ou encore adresser un cadeau à la date d’anniversaire du client.
Peu importe la raison, les données collectées doivent être liées à l’objectif précis de la collecte. Vous ne pouvez pas recueillir les informations personnelles de vos clients « au cas où » cela servirait un jour.
Pour être en règle, vous devez tenir un registre des traitements des données personnelles. Vous trouverez un modèle sur le site de la CNIL.
Informer l’usager sur le traitement de ses données personnelles
Si vous collectez des données personnelles, la personne doit donner son consentement (sauf si vous pouvez justifier d’une autre base légale pour ce traitement : exécution d’un contrat, obligation légale, intérêt légitime). Vous pouvez consulter les différentes bases légales sur le site de la CNIL).
Vous devez faire preuve de transparence afin que l’utilisateur puisse le faire de façon libre et éclairée. Il faut informer l’usager de :
- Quelles personnes ou entités auront accès aux données collectées ;
- L’objectif de la collecte des données ;
- La durée de conservation des données ;
- L’autorisation de collecter ces données (le consentement ou autre) ;
- La nature obligatoire ou facultative des données (le principe étant toujours d’en demander le moins possible : c’est la minimisation).
- Ses droits : accès, suppression, rectification, enrichissement, etc. Pour approfondir la question, rendez-vous sur la page « Respecter les droits des personnes » sur le site de la CNIL.
Sécuriser les données
Une fois les données personnelles collectées, vous devez en assurer la confidentialité et la sécurité :
1. Nommez les personnes habilitées à avoir accès aux données collectées (par exemple, un chargé de recrutement pour une embauche, un commercial dans le cadre de prospection).
2. Sécurisez votre système d’information : antivirus, sauvegarde des données, mises à jour, chiffrage éventuel des données, sensibilisation des collaborateurs concernés à la data privacy, mise en place d’une culture de la confidentialité et stratégie de prévention des cyberattaques.
Les conséquences d’une fuite involontaire des données peuvent être dramatiques pour vous (réputation, sanctions, amendes), mais aussi pour vos clients et partenaires. Si c’est trop tard, vous devez signaler cette violation de données à la CNIL dans les 72 heures.
Si vous faites appel à des sous-traitants, veillez à ce qu’ils respectent le RGPD, surtout s’ils sont amenés à manipuler les données personnelles de vos clients ou salariés.
Déterminer la durée de conservation des données
Sauf pour certains cas précis (comme la conservation des bulletins de salaire), la durée de conservation des données n’est pas prévue par la loi. Cela ne signifie pas conserver les informations éternellement.
Le responsable des données doit fixer une durée de conservation. Pour vous aider dans ce choix, la CNIL a mis en ligne un guide pratique et des référentiels.
La mise en conformité RGPD peut être plus ou moins complexe en fonction de la taille de votre entreprise ou de votre secteur d’activité. Pensez à vous faire accompagner pour ne rien omettre. À l’heure du tout numérique, votre entreprise doit elle aussi être protégée. Veillez donc à renforcer la cybersécurité de vos équipements pour éviter tout incident.
À l’heure où le numérique et l’intelligence artificielle s’installent de plus en plus dans la vie quotidienne et dans les entreprises, l’enjeu des données personnelles ne doit pas être sous-estimé. Pour plus d’informations, n’hésitez pas à consulter les guides sur le site de la CNIL.