Informations sur le RGPD

Règlement européen sur la protection des données (RGPD ou GPDR en anglais)

 

Règlement sur le RGPD

 

Le nouveau Règlement Européen sur la Protection des Données Personnelles est paru au journal officiel de l’Union européenne et entrera en application le 25 mai 2018.

Le RGPD étant un règlement, elle est applicable dès son entrée en vigueur et devient une loi dans tous les États membres de l’Union Européene.
Axé sur la protection des données à caractère personnel, il s’applique à toute organisation qui collecte, stocke ou exploite les données d’un citoyen de l’UE, même si cette organisation est basée en dehors de l’UE.

L’objectif de cette nouvelle mesure européenne est de protéger les personnes physiques à l’égard du traitement de leurs données personnels.
 

Cette nomenclature inclut plusieurs distinctions juridiques dont les organisations doivent tenir compte :

Les données personnelles : sont toutes les informations relatives à une personne physique identifiée ou identifiable.
Il peut s’agir de leur nom, de leur numéro d’identification, des données de localisation, d’un identificateur en ligne ou de tout autre facteur physionomique, génétique, mentale, économique, culturelle ou sociale de cette personne physique.

Le traitement : désigne toute opération ou ensemble d’opérations effectuées sur des données à caractère personnel.
Cela comprend la collecte, l’enregistrement, l’organisation, le stockage, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la divulgation par transmission, la diffusion ou toute autre forme de mise à disposition, ainsi que l’effacement ou la destruction de ces données.

 

Visuel de Protection des données

 

Pour les organisations, il s'agit de créer et mettre à jour un registre des activités de traitement des données déjà en possession ou récoltées.
Vous devrez être en mesure de démontrer dans l’instant que votre organisation est bien conforme aux règlements du RGPD.

A partir du vendredi 25 mai 2018 les organisations devront OBLIGATOIREMENT demander aux utilisateurs leurs consentements pour le traitement de leurs données personnelles.

La RGPD concerne qu’elle type d’organisation ?

La réponse est très simple : cette nouvelle règlementation s’applique à toutes les organisations disposant ou récupérant des données personnelles d’un citoyen de l’Union Européenne, vous devez alors vous assurer que vous êtes conforme.
Il y a quelques définitions primordiales à comprendre lorsque l’on se prépare à se conformer à la norme RGPD.

Principes généraux :

En effet, la nouvelle réglementation implique que toutes les données personnelles en votre possession sont :

  • Traitées de manière légale, équitable et transparente
  • Collectées à des fins précises, explicites et légitimes
  • Obtenues avec le consentement explicite des personnes pour chaque traitement de données (employés, clients, prospects, candidats, etc.)
  • Limitées dans la collecte et le cumul des données stockées dans le temps à ce qui est strictement nécessaire (Pas plus de trois ans)
  • Supprimées sur simple demande de l’utilisateur

Pour rappel les données concernées sont les suivantes :

    • Le nom et prénom

    • Le courriel

    • Le numéro de téléphone (fixe ou portable)

    • L’adresse postale

    • L’adresse IP et les données GPS (c’est-à-dire les données de localisation)

    • Les Cookies

    • Le numéro d’identification ou identifiants à votre application

    • Toutes données sensibles : informations relatives à l’identité physique, la santé, psychique, génétique ou économique

Responsable du traitement :

Le responsable du traitement est l’organisation ou la personne « responsable » des données au sein de votre organisation. Officiellement, le responsable du traitement détermine les finalités et les moyens du traitement des données à caractère personnel.

Un responsable peut être une personne physique ou morale, une autorité publique, une agence ou un organisme agissant seul ou conjointement avec d’autres.

Une fois le représentant désigné, vous devez le désigner par écrit comme représentant de votre organisation. Il représente ainsi le ou la responsable du traitement ou le sous-traitant en ce qui concerne leurs obligations respectives au titre du RGPD.

  • Un représentant doit être établi dans l’un des États membres de l’UE où se trouvent les personnes concernées par les données.
  • Il est de votre responsabilité de désigner un représentant sans préjudice des poursuites judiciaires qui pourraient être intentées contre votre entreprise.
  • Un représentant fera l’objet de toute procédure d’exécution forcée en cas de non-respect par la société. Cela signifie que votre entreprise et votre représentant pourraient être assujettis à des pénalités si vous ne respectez pas la loi.

Visuel sur la Protection des Données.

Le Consentement de l’utilisateur :

Il incombe au responsable du traitement de traiter les données de manière licite, loyale et transparente. La légalité du traitement ne peut être garantie que si la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques.
Le consentement doit être donné librement et donner une indication précise, compréhensible et non ambiguë des souhaits de la personne concernée. Ici, la loi est très claire sur ce qui constitue le consentement : les utilisateurs doivent faire une déclaration compréhensible et formulée en des termes clairs et simples pour affirmer que leurs données peuvent être utilisées dans le respect de la règle établie par l’organisation.

Les lignes directrices entourant le consentement signifient qu’il doit y avoir un avis de confidentialité clair pour les utilisateurs lorsqu’ils saisissent leurs données. L’avis doit indiquer très clairement pourquoi le consentement est demandé et ce qu’il adviendra de ces données. De plus, les personnes doivent toujours opter pour l’adhésion plutôt que pour la non-participation.

Des libellés compliqués et des options pré-choisies seraient considérés comme une violation des règles de consentement. En tant que responsable du traitement, vous devrez être clair sur le fait que vous demandez la permission d’utiliser les données des visiteurs/ utilisateurs de votre site et/ou de vos applications internes (CRM, ERP, etc.) et sur la raison de votre demande.

Conservation des données personnelles :

Dans le cadre d’un formulaire de contact, si vous avez répondu à la demande de votre client ou prospect, vous devrez ensuite supprimer ses données personnelles directement via votre CMS, ou par l’intermédiaire de votre base de données.
La conservation des données récoltées par l’intermédiaire d’un formulaire de contact n’est plus autorisée sur une durée limitée.

Globalement l'un des grands principes du règlement Européen est de veiller à limiter la quantité de données traitées dès le départ (principe dit de « minimisation »).

Bien entendu si vous souhaitez conserver les informations récupérées via vos formulaires dans votre système de gestion interne (CRM, ERP, etc.) il sera important de respecter la loi CNIL et le RGPD.

Pour cela, il sera donc nécessaire d’indiquer dans un registre, la durée de conservation des données et les finalités du traitement des données. Cela doit dans l’idéal apparaître au niveau des mentions légales, dans une section dédiée au formulaire.
Une seule section pour tous les formulaires devrait être suffisante sauf si l’un des formulaires implique une autre finalité du traitement des données ou une durée de conservation des données qui va différer.

 

Visuel d'un téléphone portable

 

Mise en information à vos utilisateurs :

Le RGPD a été conçue pour protéger le citoyen européen sur leurs données personnelles, ils sont donc en droit d’en être informé :

En effet, il ne suffit plus d’afficher le message « En poursuivant votre navigation, vous acceptez… ».
Ce genre de message n’est plus valable. Comme c'est déjà le cas pour les cookies, la collecte/traitement de données personnelles telles que l'adresse IP, prénom, nom, etc. doit valider le consentement de manière explicite.

C'est dorénavant valable pour tous les services. Vous devez laisser clairement le choix à l’internaute de refuser ou d’accepter la collecte de données avec des boutons appropriées.
Vous devez donc avoir un bouton "Autoriser" et "Refuser", les termes utilisés devront être compréhensibles par un enfant, vous n'aurez pas le droit d’utiliser des formules textuelles très compliquées que l'internaute ne pourrait pas comprendre et enfin le faire cliquer sur OUI.
Par ailleurs l’internaute doit disposer d’un lien vers une page détaillant la collecte de données.

Bien entendu, vous devez faire en sorte de désactiver tous les services concernés tant qu’il n’y a pas eu de clic sur “Accepter” ou que le visiteur à cliquer sur refuser, comme par exemple :

  • Google Analytics
  • L’utilisation d’un mur Facebook
  • Une Twitter Card
  • Une carte Google Map

Vous avez le droit de demander le consentement soit de manière globale, pour tous les services avec une page explicative de tous les services, soit de le faire un service à la fois. Vous pouvez aussi grouper cookie et collecte de données, mais attention vous risquez de nuire à la lisibilité de l'information et une information floue est souvent cause de rejet par l'internaute.

Évolution de vos mentions légales

Vos mentions doivent dorénavant afficher des informations complémentaires comme :

  • L’identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable du traitement coordonnées du DPO (Data Protection Officer), en français le délégué à la protection des données.
  • Expliquer les finalités du traitement – ainsi que la base juridique du traitement
  • Les destinataires ou les catégories de destinataires des données à caractère personnel
  • le cas échéant, le fait que le responsable du traitement a l’intention d’effectuer un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale, et l’existence ou l’absence d’une décision d’adéquation rendue par la Commission ou, dans le cas des transferts visés à l’article 46 ou 47, ou à l’article 49, paragraphe 1, deuxième alinéa, la référence aux garanties appropriées ou adaptées et les moyens d’en obtenir une copie ou l’endroit où elles ont été mises à disposition
  • La durée de conservation des données à caractère personnel
  • L’existence du droit de demander au responsable du traitement l’accès aux données à caractère personnel, la rectifi­cation ou l’effacement de celles-ci
  • L'existence du droit de retirer son consentement à tout moment.

Visuel d'un robot analysant des données

 

Pour vous mettre en conformité, nous vous recommandons d’adapter dès aujourd’hui vos processus d’acquisition des données personnelles :

  • Vérifier et nettoyer vos bases de données actuelles (quelles données stockez-vous, comment avez-vous obtenu ces données, sont-elles à jour, à quoi servent-elles, etc.).
  • Informer les personnes concernées qu’elles peuvent à tout moment accéder à leurs données personnelles, les faire supprimer ou transférer. Cela passe par la modification de vos CGV, contrats, mentions légales, etc.
  • Préparer toute nouvelle action marketing en intégrant le respect des droits des personnes et la sécurité des données dès le départ.

Les responsables de traitements et les sous-traitants devront mettre en place des mesures de protection des données appropriées et démontrer cette conformité à tout moment.

Le Registre de données :

La tenue du registre des traitements mis en œuvre.
Ce registre n’est pas public mais doit pouvoir être mis à tout moment à disposition des autorités de contrôle afin de vérifier la conformité du traitement avec le règlement.
En cas de litige, le professionnel devra démontrer qu’il a rempli ses obligations en matière de protection des données grâce à la tenue de ce registre.

Les études d’impact sur la vie privée (EIVP) :

Les études d’impact sur la vie privée (EIVP) sont nécessaires pour tous les traitements à risque de certaines données (dites sensibles) qui révèlent l’origine raciale ou ethnique, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale, les données concernant la santé ou l’orientation sexuelle, mais aussi, fait nouveau, les données génétiques ou biométriques)

Ce que la RGPD va changer pour le marketing :

Si votre base de données n’est pas Opt-in et si, par exemple, vous avez fait de l’achat de base, il faudra faire le grand ménage dans votre base de données.
En effet, toutes les entreprises ayant fait de l’achat de base et qui ont des contacts non Opt-in, se verront sanctionnées pour l’usage non autorisé de ces données.
Nous vous conseillons donc de faire le tri dans votre base de données rapidement, pour éviter toute sanction.

Les opérations de traitement des données (data processing) de la part d’une agence pour son client doivent être définies de façon claire et transparente.
C’est à dire qu’elles doivent désormais être encadrées par un contrat listant l’ensemble des obligations de chaque partie, et notamment les types de traitements de données que le prestataire peut réaliser pour son client.

Votre prestataire (sous-traitant) doit garantir un niveau de sécurité suffisant pour vos données (principe de data security).
Ce niveau de sécurité doit être adapté au risque encouru et donc au type de données. Plus les données sont sensibles (informations bancaires, médicales, etc.), plus le dispositif de protection doit être élaboré et robuste.

 

Échanges de données via le téléphone mobile

Droits et Obligations du sous- traitant :

Le sous-traitant est tenu de respecter des obligations spécifiques en matière de sécurité, de confidentialité et en matière d’accountability.
Il a notamment une obligation de conseil auprès du responsables de traitement pour la conformité à certaines obligations du règlement (PIA, failles, sécurité, destruction des données, contribution aux audits).

Il est tenu de maintenir un registre et de désigner un DPO dans les mêmes conditions qu’un responsable de traitement.
En tant que prestataire de services informatiques (hébergement, maintenance, …), et agence de marketing ou de communication nous sommes concernés par ce règlement européen.

Les Changements pour les sous-traitants :

Le principal changement apporté par le règlement européen est dans les contrats. Il impose des obligations spécifiques aux sous-traitants qui doivent notamment aider les responsables de traitement dans leur démarche permanente de mise en conformité de leurs traitements.
Le contrat entre le sous-traitant et le responsable du traitement doit indiquer les obligations incombant au sous-traitant pour protéger la sécurité et la confidentialité des données et prévoir qu’il ne peut agir que sur instruction du responsable du traitement ;

Le sous-traitant doit présenter des garanties suffisantes pour assurer la mise en oeuvre des mesures de sécurité et de confidentialité

Les obligations du sous-traitant à compter du 25 mai 2018 :

Une obligation de transparence et de traçabilité

    • Offrir des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière que le traitement réponde aux exigences RGPD et garantisse la protection des droits de la personne.

    • Établir avec le client un contrat ou un autre acte juridique précisant les obligations de chaque partie et reprenant les dispositions de l’article 28 du règlement européen.

    • Recenser par écrit les instructions du client concernant les traitements de ses données afin de prouver qu'en tant que sous-traitant il agit « sur instruction documentée du responsable de traitement ».

    • Demander l’autorisation écrite du client si, en tant que sous-traitant, il fait lui-même appel à un sous-traitant.

La prise en compte des principes de protection des données dès la conception et de protection des données par défaut :

 Offrir dès leur conception, des outils, produits, applications ou services que pour les clients, qui intègrent de façon effective les principes relatifs à la protection des données et roposer par défaut, dos outils, produits, applications ou services qui garantissent que seules sont traitées les données nécessaires à la finalité du traitement au regard de la quantité de données collectées, de l’étendue de leur traitement, de la durée de conservation et du nombre de personnes qui y a accès.

Maison de protection des données entouré par des animaux.

 

Une obligation de garantir la sécurité des données traitées :

    • Les employés qui traitent les données des clients doivent être soumis à une obligation de confidentialité.

    • Notifier au client toute violation de ses données. Sur la base de cette notification, le client, en tant que responsable de traitement, devra quant à lui notifier cette violation de données à l’autorité de contrôle compétente dans les conditions de l’article 33 du règlement européen et communiquer à la personne concernée une telle violation dans les conditions de l’article 34 du règlement européen. Sous réserve de l’accord du client et à condition que cela soit prévu explicitement par le contrat qui les lies, il est possible pour le responsable de traitement de donner instruction au sous-traitant d’effectuer pour son compte cette notification à l’autorité.

    • Prendre toute mesure pour garantir un niveau de sécurité adapté aux risques.

    • Au terme de la prestation et selon les instructions du client, le sous-traitant doit :

        ◦ supprimer toutes les données ou les renvoyer à votre client

        ◦ détruire les copies existantes sauf obligation légale de les conserver.

Une obligation d’assistance, d’alerte et de conseil :

    • Si, selon le sous-traitant, une instruction du client constitue une violation des règles en matière de protection des données, il doit l’en informer immédiatement.

    • Lorsqu’une personne exerce ses droits (accès, rectification, effacement, portabilité, opposition, ne pas faire l’objet d’une décision individuelle automatisée, y compris le profilage) le sous-traitant doit, dans toute la mesure du possible, aider son client à donner suite à cette demande.

    • Compte tenu des informations à sa disposition, le sous-traitant doit aider son client à garantir le respect des obligations en matière de sécurité du traitement, de notification de violation de données et d’analyse d’impact relative à la protection des données.

L&B SYNERGIE, représente en tant qu’entité, le délégué à la protection des données notamment et assure à ses clients la mise en conformité de son environnement informatique, notamment sur la partie hébergement et gestion des comptes mails.

Cette mise en conformité, en dehors de la mise en information pourra donner lieu à une prestation spécifique facturée en fonction du niveau d'intervention.

 

Visuel de parapluies - Agence de communication - Web Marketing

 

Le rôle du sous-traitant dans le cadre de l’analyse d’impact :

Le client, en tant que responsable de traitement, doit réaliser une analyse d’impact des traitements envisagés sur la protection des données dans les conditions prévues à l’article 35 du règlement européen.
Le sous-traitant doit seulement si besoin, aider le client dans la réalisation de cette analyse et lui fournir toute l’information nécessaire. Cette assistance doit être prévue dans le contrat avec le client.

Pour toutes autres demandes sur la mise en conformité de votre organisation, nous vous invitons à consulter le site web de la CNIL www.cnil.fr et/ou de vous rapprocher de votre service juridique.

La CNIL étant compréhensive, elle laisse le temps aux entreprise de se mettre en conformité avant de les sanctionner.

Source : CNIL – http://www.cnil.fr / utilisations de divers articles sur le Règlement Européen -  contenus autorisés au Partager — copier, distribuer et communiquer, y compris commerciale. - Janvier 2018