Le règlement général pour la protection des données (RGPD) est en vigueur depuis mai 2018. Il s’agit de l’application française de décisions européennes visant à protéger les personnes physiques et à leur fournir des éléments contrôlables quant à l’usage qui peut être fait des informations les concernant.
En ce sens, il s’impose à toute entreprise, dès l’instant où celleci travaille, prospecte, recherche des clients personnes physiques.
Le fait de disposer d’un fichier de prospection pour envoyer une newsletter est caractéristique de la détention d’une donnée personnelle et constitue un traitement de données au sens de la loi.
Donc, toute entreprise est très rapidement concernée !
Il s’agit d’une part de sécuriser les données au sein de l’entreprise et d’autre part de répertorier les traitements, en les inscrivant dans des procédures connues des personnes (newsletter, envoi de mails de prospection…).
Pour une entreprise qui se constitue ou une TPE, les principales obligations sont les suivantes :
- Lister les traitements de données, en étant exhaustif : collecte de données, finalité de la collecte, modalités de conservation, nécessité de conserver les données collectées, etc.
- Documenter les procédures de collecte des données en vérifiant le consentement des personnes à cette collecte, le fondement juridique de l’usage qui peut en être fait.
- Prévoir dans les procédures de l’entreprise l’exercice du droit des personnes (effacer les données, mentionner quelles sont les informations détenues, etc.)
- Le cas échéant, mettre en conformité les bases de données, les sauvegardes d’informations, les envois de données sur le Cloud (susceptibles donc d’être en dehors de la Communauté européenne, supposant des traitements spécifiques).
L’étape la plus délicate consiste à établir cette carte de l’ensemble des traitements de données d’une entreprise. Dès la création de l’entreprise, il est fortement recommandé d’établir le registre des procédures concernées. C’est toujours plus simple de le mettre à jour que de partir d’un existant avec un grand nombre de processus que l’on n’a pas toujours en tête !
Des obligations spécifiques concernent les entreprises qui traitent des données suivantes :
- informations à caractère racial, ethnique, religieux ou relatives à l’orientation sexuelle ;
- données relatives à l’appartenance syndicale, aux idées politiques ou philosophiques ;
- informations relatives à des mineurs ;
- données médicales ;
- informations sur les antécédents pénaux.
Le plus simple serait de se rapprocher de la CNIL pour faire un état des lieux et utiliser leurs outils pratiques (www.cnil.fr).
Des questions ?
Nous restons à votre disposition.
Vous avez besoin de conseils sur la meilleure démarche à suivre, contactez-nous ! Un expert répondra à toutes vos questions.