Votre Agent Général MMA
Trouver l'agence MMA la plus proche de chez vous.
Connexion Pro
Conseils pour votre quotidien d'entrepreneur
Publié le 14/05/2018, mis à jour le 02/12/2020
Données personnelles et RGPD : la FAQ des pros et entreprises
Le 25 mai 2018, le Règlement Général sur la Protection des Données est entré en application au sein de l’Union Européenne. Renforçant la protection des données personnelles, il implique la responsabilité des entreprises et les amène à se poser des questions quant aux changements engendrés par ce règlement, à ses conditions d’application et à leur mise en conformité. MMA a recensé les principales questions que vous pouvez vous poser en tant qu’entrepreneurs sur cette législation…
Prenez soin de vous renseigner sur le RGPD pour savoir si les nouvelles dispositions concernent votre entreprise ou pas.
©Shutterstock
Qu’est-ce qui est considéré comme un fichier client ?
Un fichier client répertorie les noms, prénoms, coordonnées complètes, situation familiale, économique et financière et données relatives aux moyens de paiement de vos clients. Il peut être physique ou numérique. Cela peut être un fichier Excel, un classeur de fiches avec les informations de vos clients, ou encore un logiciel ou service en ligne qui stocke les données. Le RGPD encadre les pratiques pour l’utilisation de fichiers de données non seulement clients mais également salariés, fournisseurs...
À partir de quel stade considère-t-on qu’une entreprise exploite des données personnelles ?
On traite des données personnelles dès lors qu’on collecte, stocke ou exploite un fichier de noms et d’informations associées. Le RGPD considère une notion de traitement « à grande échelle » sans donner de définition précise : l’échelle s’apprécie au regard du nombre de personnes et du périmètre géographique concernés, du volume de données détenu par personne, de la durée de traitement de la donnée… - variables qui doivent rester proportionnées au périmètre d’exercice de l’entreprise qui les exploite. À la notion d’échelle s’ajoute celle de sensibilité de la donnée : plus les données personnelles sont sensibles (données de santé, données bancaires, opinion politique, orientation sexuelle…), plus l’entreprise doit être rigoureuse vis-à-vis de leur protection.
Combien de temps a-t-on le droit de conserver des données personnelles ?
Les données personnelles ne peuvent être conservées indéfiniment. Selon le RGPD, la durée de conservation des données doit être « proportionnée ». Pour chaque fichier de données stocké, vous devez vous poser la question de la durée de conservation nécessaire à l’utilisation que vous voulez en faire. Une durée proportionnée peut être l’échéance d’un jeu-concours si la donnée a été collectée via l’inscription à un jeu, ou la durée du contrat commercial avec le client, plus le délai légal de prescription.
Les données passent par trois phases, qu’on appelle « cycle de vie de la donnée » :
- La conservation en base active qui correspond à la durée nécessaire à la réalisation de l’objectif qui a justifié la collecte de la donnée. Par exemple, le service de Ressources Humaines d’une entreprise peut conserver les données d’un candidat pendant 2 ans (sauf s’il en demande la suppression). Cela permettra de constituer une base de candidats pour les prochaines opérations de recrutement, les données restant accessibles pendant cette durée ;
- L’archivage intermédiaire : lorsque les données ne sont plus utilisées mais qu’elles ont un intérêt administratif pour l’organisme, ou qu’elles doivent être conservées par obligation légale. Par exemple, les données de facturation doivent être conservées dix ans, même si la personne concernée n’est plus cliente (en application du code du commerce). Pendant cette période, les données peuvent être consultées de manière ponctuelle par les personnes habilitées ;
- L’archivage définitif : sans limitation de durée, il ne concerne que les données recueillies dans l’intérêt public ou ayant un intérêt historique, c’est-à-dire principalement le secteur public soumis aux dispositions du code du patrimoine.
Comment un utilisateur donne son consentement à l’utilisation des données ?
Selon le RGPD, l’utilisateur doit donner son consentement explicite et révocable pour que soient utilisées les données qu’il a livrées. Vous devez être en mesure d'apporter la preuve du consentement de la personne dont vous utilisez les données. Ce consentement se fait par exemple par une case à cocher sur un formulaire, en prenant soin d’avoir mentionné sur ce même formulaire la façon de révoquer ce consentement.
Par ailleurs, depuis octobre 2020, si vous collectez les données de navigation (avec des cookies) sur votre site internet, vous devez demander à l’internaute son accord. Avant d’accepter les cookies, il doit être informé de façon claire et synthétique de l’usage de ses données de navigation (publicité personnalisée, géolocalisée, personnalisation de contenus…). L’utilisateur doit pouvoir refuser les cookies aussi facilement qu’il peut les accepter. Tous les sites devront être mis en conformité avant fin mars 2021.
Comment un utilisateur peut révoquer son consentement à l’utilisation des données ?
Le RGPD impose de laisser à l’utilisateur la possibilité de révoquer le consentement qu’il a donné pour l’utilisation de ses données, ainsi que celle de demander leur suppression ultérieurement s’il le souhaite. La souscription à un service en ligne doit pouvoir se fermer aussi facilement qu'elle a été ouverte. L’utilisateur doit pouvoir accéder aux données qu’il a livrées et, dans certains cas, demander leur suppression. Prévoyez cette possibilité dans l'espace en ligne que vous proposez à vos clients. Vous pouvez également préciser dans les mentions légales de votre site la procédure pour obtenir le retrait de données personnelles.
Ai-je le devoir d’afficher ma politique de collecte et de traitement des données ?
Si vous avez un site internet, les mentions légales sont obligatoires. Elles varient selon le type de profession que vous exercez. Elles doivent comprendre a minima : les noms et coordonnées de l'éditeur du service, les noms et coordonnées de l'hébergeur, la désignation d’un directeur de la publication. Vous pouvez ajouter un paragraphe détaillant les données que vous pouvez être amené à collecter ainsi que la procédure pour les supprimer. Le site service-public.fr liste les mentions légales de manière exhaustive ici : https://www.service-public.fr/professionnels-entreprises/vosdroits/F31228
Je délègue le traitement de mes fichiers de données à un professionnel : respecte-t-il le RGPD ?
Vous, et vos sous-traitants, êtes responsables de la bonne application du RGPD. Assurez-vous que vos prestataires aient connaissance du règlement et qu’ils aient mis en conformité leurs procédures. Gardez la trace de vos échanges sur le sujet avec eux. De la même façon, si vous êtes vous-mêmes prestataire dans le domaine du numérique, du CRM, etc. vous avez un devoir d’information et d’accompagnement de vos clients entreprises.
Puis-je commercialiser des données clients à d’autres entreprises ?
Tout échange de données personnelles entre entreprises nécessite le consentement préalable des personnes concernées (sauf s’il s’agit du sous-traitant qui stocke ou exploite ces données pour votre compte). Si vous avez l’intention de céder vos fichiers de données à une entreprise tierce dès le début de votre démarche, nous vous conseillons, par exemple, d’en demander l’autorisation à l’utilisateur à travers une question dédiée. Si au contraire, vous savez d’entrée de jeu que vous ne céderez pas ces données, exprimez-le et faites-en un argument de réassurance.
Les données que je conserve sur mes salariés sont-elles des « données personnelles » ?
Oui. Le RGPD concerne toutes les données personnelles, qu’elles soient celles de clients, de salariés, de fournisseurs… Pour vos salariés, nous vous conseillons d'indiquer dès le contrat de travail que leurs données personnelles feront l'objet d'un traitement et seront conservées pendant la durée du contrat ou, au-delà, jusqu'aux délais de prescription en vigueur. Pour les contrats déjà en vigueur, vous pouvez, par exemple, informer les salariés lors de la remise du bulletin de paie.
Voir les autres articles du dossier
RGPD : la certification de votre délégué à la protection des données (DPO)
Plus de trois ans après l'entrée en vigueur du RGPD (règlement général sur la protection des données), la CNIL (Commission nationale de l’informatique et des libertés) recense près de 25 500 délégués à la protection des données (DPO)(1). Une désignation qui peut être obligatoire pour certaines entreprises.
Fraude en entreprise : comment s’en protéger et réagir ?
La fraude en entreprise est un risque bien réel. Selon une étude menée par Grant Thornton en 2017, plus des trois quarts des entreprises interrogées déclaraient avoir subi une tentative de fraude au cours des deux dernières années(1). Focus sur les principaux types de fraude pour mieux vous en prémunir et adopter...
RGPD : avez-vous pensé à vos sous-traitants ?
François Carlach, expert juridique MMA, précise vos responsabilités dans le cadre du RGPD si vous sous-traitez la gestion des données personnelles de vos clients.
.
© SFIO_CRACHO/Shutterstock
Assurance cyber-risques MMA :Protégez votre entreprise !
La dématérialisation des procédures - due à l'essor du télétravail - expose vos collaborateurs et votre entreprise à de nouveaux risques : vol de données, hameçonnage, défaillances liées aux logiciels. Avec l’assurance Cyber-Risques MMA, vous bénéficiez de garanties d’assurance adaptées(1).
(1) Nos prises en charge sont faites en application des garanties ou options souscrites et des conditions, limites, exclusions de garanties et du montant des franchises qui sont précisées dans les Conditions Générales, Conditions Particulières du contrat Assurance Cyber –Risques MMA.
