RGPD : mise en vigueur dans une semaine

La nouvelle loi européenne dite GDPR (General Data Protection Regulation ou RGPD en Français), entrera en vigueur vendredi 25 mai 2018 à 00h01. Ce texte officiellement adopté en avril 2016 concerne toutes les entreprises disposant de données personnelles dans ses bases de données.

Avec l’adoption de ce texte, reconnu par la Commission Nationale Informatique et Liberté (CNIL) en France, l’ancien texte de 1995 devient obsolète. Le but est bien évidemment de continuer à protéger la vie privée des personnes, en prenant en compte les évolutions et avancées technologiques qui permettent la collecte et l’analyse d’un nombre de données personnelles de plus en plus important.

Comment savoir si mon entreprise est concernée par le règlement RGPD ?

Que l’on soit une petite TPE/ PME ou un grand groupe international, une entreprise disposant de données personnelles concernant des européens se doit de suivre scrupuleusement cette réglementation, même si son siège social n’est pas implanté en Europe. De fait, même les GAFA (Google, Apple, Facebook, Amazon) sont soumis à cette règlementation. Les données personnelles collectées et détenues par l’entreprise se doivent d’être identifiées par un délégué nommé, qui en sera le garant et correspondra directement avec la CNIL en cas de contrôle.

On retrouve des données personnelles notamment dans tous les logiciels de CRM, de traitement d’emails à grande échelle, ou encore lors de collectes de données sur les réseaux sociaux.

Quelle est la différence entre une donnée personnelle et une donnée sensible ?

« Toute information se rapportant à une personne physique identifiée ou identifiable ». Voilà  la définition exacte d’une donnée personnelle donnée par la CNIL. Les deux derniers mots sont lourds de sens. On y retrouve donc bien évidemment les noms, photos,  numéros de téléphone, adresses postales ou électroniques, mais  également les  adresses IP, identifiants de connexion ou encore numéros de sécurité sociale. A noter qu’une adresse mail professionnelle n’est nullement une donnée personnelle, donnant exclusivement l’accès à des données professionnelles.

Attention cependant à la détention de données sensibles qui est strictement interdite sans consentement clair et précis. Une donnée sensible n’est pas seulement une donnée personnelle. C’est également une donnée qui peut donner lieu à des préjugés ou à une discrimination. Ainsi, Une opinion politique, orientation sexuelle ou encore une appartenance à un groupe religieux sont considérés comme des données sensibles.

Quel sont les risques ?

A minima, le risque est une baisse de réputation dû au non-respect de la législation RGPD. S’appliquant aux petites comme aux grosses entreprises, les sanctions RGPD peuvent avoir un effet très néfaste sur les plus petites start-up.

Une amende équivalente à 4% du chiffre d’affaire peut s‘appliquer à l’entreprise, le plafond maximum étant de 20 millions d’euros.

Quelles précautions prendre ?

Tout d’abord, lors d’une collecte de données, informez votre audience des raisons pour lesquelles vous souhaitez exploiter ces données les concernant, et dans quelles mesures vous vous engagez à respecter leurs vies privées. L’accord de la personne doit être explicite et précis. Il est également de votre devoir de lui expliquer tous ses autres droits, dont notamment le droit à l’oubli, c’est-à-dire l’obligation par l’entreprise d’effacer à sa demande toutes traces de ses données dans vos fichiers.

Ensuite, au niveau informatique, il est capital de mettre en place toutes les solutions permettant de protéger ces données personnelles. Il conviendra ainsi de limiter l’accès à ces données aux seules personnes autorisées et de s’assurer qu’elles soient non exploitables en cas de vol (Piratage, vol de support amovible, ….).

ITvTEK propose des services pour vous aider dans votre démarche RGPD. Contactez-nous pour plus d’information. Vous pouvez également demander des renseignements directement avec la CNIL en appelant le 01 53 73 22 22.