- ConnexionPro
- Digital innovation
- Nouvelles technologies
- Données personnelles et RGPD : la FAQ des pros et entreprises
Données personnelles et RGPD : la FAQ des pros et entreprises
Entré en application le 25 mai 2018, le Règlement Général sur la Protection des Données (RGPD) renforce la responsabilité des entreprises en matière de traitement des données personnelles. Comment l’appliquer et vous mettre en conformité ? MMA a recensé les principales questions que vous vous posez sur cette législation en tant qu’entrepreneurs.
Quelle que soit la taille de votre entreprise, le RGPD vous impose de protéger les données personnelles de vos clients, salariés, fournisseurs…
@Shutterstock
Qu’est-ce qui est considéré comme un fichier client ?
Un fichier client répertorie les noms, prénoms, coordonnées complètes, situation familiale, économique et financière et données relatives aux moyens de paiement de vos clients. Il peut être physique ou numérique. Cela peut être un fichier Excel, un classeur de fiches avec les informations de vos clients, ou encore un logiciel ou service en ligne qui stocke les données. Le RGPD encadre les pratiques pour l’utilisation de fichiers de données non seulement clients mais également salariés, fournisseurs...
À partir de quel stade considère-t-on qu’une entreprise exploite des données personnelles ?
On traite des données personnelles dès lors qu’on collecte, stocke ou exploite un fichier de noms et d’informations associées. Le RGPD considère une notion de traitement « à grande échelle » sans donner de définition précise : l’échelle s’apprécie au regard du nombre de personnes et du périmètre géographique concernés, du volume de données détenu par personne, de la durée de traitement de la donnée… - variables qui doivent rester proportionnées au périmètre d’exercice de l’entreprise qui les exploite. À la notion d’échelle s’ajoute celle de sensibilité de la donnée : plus les données personnelles sont sensibles (données de santé, opinion politique, orientation sexuelle…), plus l’entreprise doit être rigoureuse dans le recueil du consentement de l’utilisateur et la protection de ces données.
Combien de temps a-t-on le droit de conserver des données personnelles ?
Les données personnelles ne peuvent être conservées indéfiniment. Dans certains cas, la loi a défini un délai précis. C’est le cas par exemple pour les bulletins de paie de vos salariés, dont vous pouvez conserver un double pendant 5 ans maximum.
Si ce n’est pas le cas, la durée de conservation des données doit être « proportionnée ». Pour chaque fichier de données stocké, vous devez vous poser la question de la durée de conservation nécessaire à l’utilisation que vous voulez en faire. Une durée proportionnée peut être l’échéance d’un jeu-concours si la donnée a été collectée via l’inscription à un jeu, ou la durée du contrat commercial avec le client, plus le délai légal de prescription.
Les données passent par trois phases, qu’on appelle « cycle de vie de la donnée » :
- La conservation en base active qui correspond à la durée nécessaire à la réalisation de l’objectif qui a justifié la collecte de la donnée. Par exemple, le service de Ressources Humaines d’une entreprise peut conserver les données d’un candidat pendant 2 ans (sauf s’il en demande la suppression). Cela permettra de constituer une base de candidats pour les prochaines opérations de recrutement, les données restant accessibles pendant cette durée ;
- L’archivage intermédiaire : lorsque les données ne sont plus utilisées mais qu’elles ont un intérêt administratif pour l’organisme, ou qu’elles doivent être conservées par obligation légale. Par exemple, les données de facturation doivent être conservées dix ans, même si la personne concernée n’est plus cliente (en application du code du commerce). Pendant cette période, les données peuvent être consultées de manière ponctuelle par les personnes habilitées ;
- L’archivage définitif : sans limitation de durée, il ne concerne que les données recueillies dans l’intérêt public ou ayant un intérêt historique, c’est-à-dire principalement le secteur public soumis aux dispositions du code du patrimoine.
Comment un utilisateur donne son consentement à l’utilisation des données ?
Hormis certaines situations où le consentement n’est pas nécessaire (lorsque les données sont collectées pour la bonne exécution du contrat par exemple), l’utilisateur doit obligatoirement donner son consentement explicite et révocable pour que soient utilisées les données qu’il a livrées. Vous devez être en mesure d'apporter la preuve du consentement de la personne dont vous utilisez les données. Ce consentement doit être préalable à la collecte des données. Il peut être recueilli par exemple par le biais d’une case à cocher sur un formulaire (non cochée par défaut), en prenant soin d’avoir mentionné sur ce même formulaire la façon de révoquer ce consentement.
Par ailleurs, depuis octobre 2020, si vous collectez les données de navigation (avec des cookies) sur votre site internet, vous devez demander à l’internaute son accord. Avant d’accepter les cookies, il doit être informé de façon claire et synthétique de l’usage de ses données de navigation (publicité personnalisée, géolocalisée, personnalisation de contenus…), par exemple sous la forme d’un bandeau. L’utilisateur doit pouvoir refuser les cookies aussi facilement qu’il peut les accepter, notamment grâce à un bouton « Tout refuser » ou par le simple fait de fermer le bandeau des cookies. Sachant que le silence de l’internaute, qui poursuivrait sa navigation sans donner son accord, doit désormais être interprété comme un refus.
Comment un utilisateur peut révoquer son consentement à l’utilisation des données ?
Le RGPD impose de laisser à l’utilisateur la possibilité de révoquer le consentement qu’il a donné pour l’utilisation de ses données, ainsi que celle de demander leur suppression ultérieurement s’il le souhaite. La souscription à un service en ligne doit pouvoir se fermer aussi facilement qu'elle a été ouverte. L’utilisateur doit pouvoir accéder aux données qu’il a livrées et, dans certains cas, demander leur suppression. Prévoyez cette possibilité dans l'espace en ligne que vous proposez à vos clients. Vous pouvez également préciser dans les mentions légales de votre site la procédure pour obtenir le retrait de données personnelles. Vous veillerez alors à traiter ces demandes le plus rapidement possible pour préserver la confiance de vos clients et éviter toute critique sur les réseaux sociaux ou réclamation auprès de la CNIL.
Ai-je le devoir d’afficher ma politique de collecte et de traitement des données ?
Si vous avez un site internet, les mentions légales sont obligatoires. Elles varient selon le type de profession que vous exercez. Elles doivent comprendre a minima : les noms et coordonnées de l'éditeur du service, les noms et coordonnées de l'hébergeur, la désignation d’un directeur de la publication. Vous pouvez ajouter un paragraphe détaillant les données que vous pouvez être amené à collecter ainsi que la procédure pour les supprimer. Le site service-public.fr liste les mentions légales de manière exhaustive ici : https://entreprendre.service-public.fr/vosdroits/F31228
Je délègue le traitement de mes fichiers de données à un professionnel : respecte-t-il le RGPD ?
Vous, et vos sous-traitants, êtes responsables de la bonne application du RGPD. Assurez-vous que les procédures de vos prestataires sont en conformité avec le règlement. Gardez la trace de vos échanges sur le sujet avec eux. De la même façon, si vous êtes vous-mêmes prestataire dans le domaine du numérique, du CRM, etc. vous avez un devoir d’information et d’accompagnement de vos clients entreprises.
Puis-je commercialiser des données clients à d’autres entreprises ?
Tout échange de données personnelles entre entreprises nécessite le consentement préalable des personnes concernées (sauf s’il s’agit du sous-traitant qui stocke ou exploite ces données pour votre compte). Si vous avez l’intention de céder vos fichiers de données à une entreprise tierce dès le début de votre démarche, nous vous conseillons, par exemple, d’en demander l’autorisation à l’utilisateur à travers une question dédiée. Si au contraire, vous savez d’entrée de jeu que vous ne céderez pas ces données, exprimez-le et faites-en un argument de réassurance.
Les données que je conserve sur mes salariés sont-elles des « données personnelles » ?
Oui. Le RGPD concerne toutes les données personnelles, qu’elles soient celles de clients, de salariés, de fournisseurs… Pour vos salariés, nous vous conseillons d'indiquer dès le contrat de travail que leurs données personnelles feront l'objet d'un traitement et seront conservées pendant la durée du contrat ou, au-delà, jusqu'aux délais de prescription en vigueur. Pour les contrats déjà en vigueur, vous pouvez, par exemple, informer les salariés lors de la remise du bulletin de paie ou encore via une note de service ou le règlement intérieur de l’entreprise.
Voir les autres articles du dossier
RGPD : la certification de votre délégué à la protection des données (DPO)
Plus de trois ans après l'entrée en vigueur du RGPD (règlement général sur la protection des données), la CNIL (Commission nationale de l’informatique et des libertés) recense près de 25 500 délégués à la protection des données (DPO)(1). Une désignation qui peut être obligatoire pour certaines entreprises.
Fraude en entreprise : comment s’en protéger et réagir ?
La fraude en entreprise est un risque bien réel, dont le nombre de tentatives a explosé avec la pandémie de Covid-19 et la digitalisation des échanges. Toutes les entreprises peuvent être concernées, quelles que soient leur taille ou leur secteur d’activité. Comment vous en prémunir et adopter le bon comportement...
RGPD : avez-vous pensé à vos sous-traitants ?
François Carlach, expert juridique MMA, précise vos responsabilités dans le cadre du RGPD si vous sous-traitez la gestion des données personnelles de vos clients.
Rédiger sa politique de confidentialité : un exercice obligatoire pour les sites e-commerce
Depuis la mise en place du Règlement général sur la protection des données (RGPD), tous les sites e-commerce doivent informer les internautes de l'utilisation de leurs données personnelles. Cette information prend la forme d'une charte de confidentialité qui doit être facilement accessible aux utilisateurs. Quelles...
.
La dématérialisation des procédures - due à l'essor du télétravail - expose vos collaborateurs et votre entreprise à de nouveaux risques : vol de données, hameçonnage, défaillances liées aux logiciels. Avec l’assurance Cyber-Risques MMA, vous bénéficiez de garanties d’assurance adaptées(1).
(1) Nos prises en charge sont faites en application des garanties ou options souscrites et des conditions, limites, exclusions de garanties et du montant des franchises qui sont précisées dans les Conditions Générales, Conditions Particulières du contrat Assurance Cyber –Risques MMA.
