Conseils pour votre quotidien d'entrepreneur
Données personnelles et RGPD : la FAQ des pros et entreprises
Le 25 mai 2018, le Règlement Général sur la Protection des Données entre en application au sein de l’Union européenne. Renforçant la protection des données personnelles, il implique la responsabilité des entreprises et les amène à se poser des questions quant aux changements engendrés par ce règlement, à ses conditions d’application et à leur mise en conformité. MMA a recensé les principales questions que vous pouvez vous poser en tant qu’entrepreneurs sur cette législation…
Prenez soin de vous renseigner sur le RGPD pour savoir si les nouvelles dispositions concernent votre entreprise ou pas.
© Shutterstock
RGPD, cyberrisques... : MMA accompagne les entreprises
© Iceteaimages/Fotolia
Avec le RGPD, les entreprises doivent notifier aux autorités de contrôle - ANSSI et CNIL en France- et à toutes les personnes concernées les incidents graves compromettant la sécurité des données. Sanction en cas de non-conformité : jusqu’à 4 % du chiffre d’affaires mondial ! Avec la garantie frais de notification de son offre cyber-risques sur mesure, MMA couvre les frais que vous devrez engager pour respecter ces obligations (identification des personnes, frais de communication....)(1).
(1) Dans les conditions, limites et exclusions prévues au contrat.
Qu’est-ce qui est considéré comme un fichier client ?
Un fichier client répertorie les noms, prénoms, e-mails… de vos clients. Il peut être physique ou numérique. Ce peut être un fichier Excel, un classeur de fiches avec les coordonnées de vos clients, ou encore un logiciel ou service en ligne qui stocke les données. Le RGPD encadre les pratiques pour l’utilisation de fichiers de données non seulement clients mais également salariés, fournisseurs...
À partir de quel stade considère-t-on qu’une entreprise exploite des données personnelles ?
On traite des données personnelles dès lors qu’on collecte, stocke ou exploite un fichier de noms et d’informations associées. Le RGPD considère une notion traitement « à grande échelle » sans donner de définition précise : l’échelle s’apprécie au regard du nombre de personnes et du périmètre géographique concernés, du volume de données détenu par personne, de la durée de traitement de la donnée… - variables qui doivent rester proportionnées au périmètre d’exercice de l’entreprise qui les exploite. À la notion d’échelle s’ajoute celle de sensibilité de la donnée : plus les données personnelles sont sensibles (données de santé, données bancaires, opinion politique, orientation sexuelle…), plus l’entreprise doit être rigoureuse vis-à-vis de leur protection.
Combien de temps a-t-on le droit de conserver des données personnelles ?
Selon le RGPD, la durée de conservation des données doit être « proportionnée ». Pour chaque fichier de données stocké, vous devez vous poser la question de la durée de conservation nécessaire à l’utilisation que vous voulez en faire. Une durée proportionnée peut être l’échéance d’un jeu-concours si la donnée a été collectée via l’inscription à un jeu, ou la durée du contrat commercial avec le client, plus le délai légal de prescription.
Comment un utilisateur donne son consentement à l’utilisation des données ?
Selon le RGPD, l’utilisateur doit donner son consentement explicite et révocable pour que soient utilisées les données qu’il a livrées. Vous devez être en mesure d'apporter la preuve du consentement de la personne dont vous utilisez les données. Ce consentement se fait par exemple par une case à cocher sur un formulaire, en prenant soin d’avoir mentionné sur ce même formulaire la façon de révoquer ce consentement.
Comment un utilisateur peut révoquer son consentement à l’utilisation des données ?
Le RGPD impose de laisser à l’utilisateur la possibilité de révoquer le consentement qu’il a donné pour l’utilisation de ses données, ainsi que celle de supprimer ces données ultérieurement s’il le souhaite. La souscription à un service en ligne doit pouvoir se fermer aussi facilement qu'elle a été ouverte. L’utilisateur doit pouvoir accéder aux données qu’il a livrées et, dans certains cas, demander leur suppression. Prévoyez cette possibilité dans l'espace en ligne que vous proposez à vos clients. Vous pouvez également préciser dans les mentions légales de votre site la procédure pour obtenir le retrait de données personnelles.
Ai-je le devoir d’afficher ma politique de collecte et de traitement des données ?
Si vous avez un site internet, les mentions légales sont obligatoires. Elles doivent comprendre a minima : les nom et coordonnées de l'éditeur du service, les nom et coordonnées de l'hébergeur, la désignation d’un directeur de la publication. Vous pouvez ajouter un paragraphe détaillant les données que vous pouvez être amené à collecter ainsi que la procédure pour les supprimer. Le site service-public.fr liste les mentions légales de manière exhaustives ici : www.service-public.fr
Je délègue le traitement de mes fichiers de données à un professionnel : respecte-t-il le RGPD ?
Vous, et vos sous-traitants, êtes responsables de la bonne application du RGPD. Assurez-vous que vos prestataires aient connaissance du règlement et qu’ils aient mis en conformité leurs procédures. Gardez la trace de vos échanges sur le sujet avec eux. De la même façon, si vous êtes vous-mêmes prestataire dans le domaine du numérique, du CRM, etc. vous avez un devoir d’information et d’accompagnement de vos clients entreprises.
Puis-je commercialiser des données clients à d’autres entreprises ?
Tout échange de données personnelles entre entreprises nécessite le consentement préalable des personnes concernées (sauf s’il s’agit du sous-traitant qui stocke ou exploite ces données pour votre compte). Si vous avez l’intention de céder vos fichiers de données à une entreprise tierce dès le début de votre démarche, nous vous conseillons, par exemple, d’en demander l’autorisation à l’utilisateur à travers une question dédiée. Si au contraire, vous savez d’entrée de jeu que vous ne céderez pas ces données, exprimez-le et faites-en un argument de réassurance.
Les données que je conserve sur mes salariés sont-elles des « données personnelles » ?
Oui. Le RGPD concerne toutes les données personnelles, qu’elles soient celles de clients, de salariés, de fournisseurs… Pour vos salariés, nous vous conseillons d'indiquer dès le contrat de travail que leurs données personnelles feront l'objet d'un traitement et seront conservées pendant la durée du contrat ou, au-delà, jusqu'aux délais de prescription en vigueur. Pour les contrats déjà en vigueur, vous pouvez, par exemple, informer les salariés lors de la remise du bulletin de paie.
Voir les autres articles du dossier
Plus d’info sur le RGPD
-
RGPD : avez-vous pensé à vos sous-traitants ?
François Carlach, expert juridique MMA, précise vos responsabilités dans le cadre du RGPD si vous sous-traitez le traitement des données...
-
Fraude en entreprise : comment s’en protéger et réagir ?
La fraude en entreprise est un risque bien réel. Selon une étude menée par Grant Thornton en 2017, plus des trois quarts...
-
Autodiagnostic RGPD : votre TPE-PME est-elle en conformité ?
À partir du 25 mai 2018, le RGPD (Règlement Général sur la Protection des Données) entre en application, imposant aux entreprises...
-
RGPD : la certification de votre DPO
Six mois après l'entrée en vigueur du RGPD, seulement 16 % des entreprises concernées ont déclaré la nomination d'un délégué...
Comment ça
marche ?
Connexion Pro : bien informé pour mieux entreprendre
Voir la vidéo