Le 25 mai 2018, le Règlement Général sur la Protection des Données est entré en application au sein de l’Union Européenne. Renforçant la protection des données personnelles, il implique la responsabilité des entreprises et les amène à se poser des questions quant aux changements engendrés par ce règlement, à ses conditions d’application et à leur mise en conformité. MMA a recensé les principales questions que vous pouvez vous poser en tant qu’entrepreneurs sur cette législation…
Prenez soin de vous renseigner sur le RGPD pour savoir si les nouvelles dispositions concernent votre entreprise ou pas.
©Shutterstock
Un fichier client répertorie les noms, prénoms, coordonnées complètes, situation familiale, économique et financière et données relatives aux moyens de paiement de vos clients. Il peut être physique ou numérique. Cela peut être un fichier Excel, un classeur de fiches avec les informations de vos clients, ou encore un logiciel ou service en ligne qui stocke les données. Le RGPD encadre les pratiques pour l’utilisation de fichiers de données non seulement clients mais également salariés, fournisseurs...
On traite des données personnelles dès lors qu’on collecte, stocke ou exploite un fichier de noms et d’informations associées. Le RGPD considère une notion de traitement « à grande échelle » sans donner de définition précise : l’échelle s’apprécie au regard du nombre de personnes et du périmètre géographique concernés, du volume de données détenu par personne, de la durée de traitement de la donnée… - variables qui doivent rester proportionnées au périmètre d’exercice de l’entreprise qui les exploite. À la notion d’échelle s’ajoute celle de sensibilité de la donnée : plus les données personnelles sont sensibles (données de santé, données bancaires, opinion politique, orientation sexuelle…), plus l’entreprise doit être rigoureuse vis-à-vis de leur protection.
Les données personnelles ne peuvent être conservées indéfiniment. Selon le RGPD, la durée de conservation des données doit être « proportionnée ». Pour chaque fichier de données stocké, vous devez vous poser la question de la durée de conservation nécessaire à l’utilisation que vous voulez en faire. Une durée proportionnée peut être l’échéance d’un jeu-concours si la donnée a été collectée via l’inscription à un jeu, ou la durée du contrat commercial avec le client, plus le délai légal de prescription.
Les données passent par trois phases, qu’on appelle « cycle de vie de la donnée » :
Selon le RGPD, l’utilisateur doit donner son consentement explicite et révocable pour que soient utilisées les données qu’il a livrées. Vous devez être en mesure d'apporter la preuve du consentement de la personne dont vous utilisez les données. Ce consentement se fait par exemple par une case à cocher sur un formulaire, en prenant soin d’avoir mentionné sur ce même formulaire la façon de révoquer ce consentement.
Par ailleurs, depuis octobre 2020, si vous collectez les données de navigation (avec des cookies) sur votre site internet, vous devez demander à l’internaute son accord. Avant d’accepter les cookies, il doit être informé de façon claire et synthétique de l’usage de ses données de navigation (publicité personnalisée, géolocalisée, personnalisation de contenus…). L’utilisateur doit pouvoir refuser les cookies aussi facilement qu’il peut les accepter. Tous les sites devront être mis en conformité avant fin mars 2021.
Le RGPD impose de laisser à l’utilisateur la possibilité de révoquer le consentement qu’il a donné pour l’utilisation de ses données, ainsi que celle de demander leur suppression ultérieurement s’il le souhaite. La souscription à un service en ligne doit pouvoir se fermer aussi facilement qu'elle a été ouverte. L’utilisateur doit pouvoir accéder aux données qu’il a livrées et, dans certains cas, demander leur suppression. Prévoyez cette possibilité dans l'espace en ligne que vous proposez à vos clients. Vous pouvez également préciser dans les mentions légales de votre site la procédure pour obtenir le retrait de données personnelles.
Si vous avez un site internet, les mentions légales sont obligatoires. Elles varient selon le type de profession que vous exercez. Elles doivent comprendre a minima : les noms et coordonnées de l'éditeur du service, les noms et coordonnées de l'hébergeur, la désignation d’un directeur de la publication. Vous pouvez ajouter un paragraphe détaillant les données que vous pouvez être amené à collecter ainsi que la procédure pour les supprimer. Le site service-public.fr liste les mentions légales de manière exhaustive ici : https://www.service-public.fr/professionnels-entreprises/vosdroits/F31228
Vous, et vos sous-traitants, êtes responsables de la bonne application du RGPD. Assurez-vous que vos prestataires aient connaissance du règlement et qu’ils aient mis en conformité leurs procédures. Gardez la trace de vos échanges sur le sujet avec eux. De la même façon, si vous êtes vous-mêmes prestataire dans le domaine du numérique, du CRM, etc. vous avez un devoir d’information et d’accompagnement de vos clients entreprises.
Tout échange de données personnelles entre entreprises nécessite le consentement préalable des personnes concernées (sauf s’il s’agit du sous-traitant qui stocke ou exploite ces données pour votre compte). Si vous avez l’intention de céder vos fichiers de données à une entreprise tierce dès le début de votre démarche, nous vous conseillons, par exemple, d’en demander l’autorisation à l’utilisateur à travers une question dédiée. Si au contraire, vous savez d’entrée de jeu que vous ne céderez pas ces données, exprimez-le et faites-en un argument de réassurance.
Oui. Le RGPD concerne toutes les données personnelles, qu’elles soient celles de clients, de salariés, de fournisseurs… Pour vos salariés, nous vous conseillons d'indiquer dès le contrat de travail que leurs données personnelles feront l'objet d'un traitement et seront conservées pendant la durée du contrat ou, au-delà, jusqu'aux délais de prescription en vigueur. Pour les contrats déjà en vigueur, vous pouvez, par exemple, informer les salariés lors de la remise du bulletin de paie.
Près de deux ans après l'entrée en vigueur du RGPD, 26% des entreprises concernées ont déclaré la nomination d'un délégué à la protection des données (DPO)(1). Une bonne raison pour vérifier si votre entreprise est soumise à cette obligation…
La fraude en entreprise est un risque bien réel. Selon une étude menée par Grant Thornton en 2017, plus des trois quarts des entreprises interrogées déclaraient avoir subi une tentative de fraude au cours des deux dernières années(1). Focus sur les principaux types de fraude pour mieux vous en prémunir et adopter...
François Carlach, expert juridique MMA, précise vos responsabilités dans le cadre du RGPD si vous sous-traitez la gestion des données personnelles de vos clients.
.
La dématérialisation des procédures - due à l'essor du télétravail - expose vos collaborateurs et votre entreprise à de nouveaux risques : vol de données, hameçonnage, défaillances liées aux logiciels. Avec l’assurance Cyber-Risques MMA, vous bénéficiez de garanties d’assurance adaptées(1).
(1) Nos prises en charge sont faites en application des garanties ou options souscrites et des conditions, limites, exclusions de garanties et du montant des franchises qui sont précisées dans les Conditions Générales, Conditions Particulières du contrat Assurance Cyber –Risques MMA.