Vous êtes concerné par la Réglementation Générale de protection des Données si vous avez un fichier et que vous stockez les données personnelles (date de naissance, adresse mail etc..). ou si vous avez un fichier de contacts à qui vous envoyez des emailings / newsletter. ou si vous avez des salariés et que vous stockez leurs données personnelles ou si vous avez un fichier client.
Dans tous les cas, il peut être judicieux de demander un avis à votre juriste, le seul habilité à vous donner des conseils pertinents en fonction de votre situation personnelle.
Pour Isabelle Falque-Perrotin, Présidente de la CNIL, il faut dédramatiser le RGPD.
"Il faut en finir avec l’alarmisme sur le RGPD ! Avec ce guide, nous voulons montrer aux PME que se mettre en conformité c’est facile, en adoptant simplement de bons réflexes. A l’heure où les consommateurs sont de plus en plus soucieux de leurs données personnelles, proposer une relation de confiance à ses collaborateurs, clients, prospects, c’est aussi utile à l’entreprise. Enfin, un couperet ne va pas tomber sur les entreprises le 26 mai."
Mais si vous détenez des données sensibles, vous devez être plus vigilant.
Déclarer un "DPO"
La désignation d’un délégué à la protection des données (DPO) est obligatoire si :
Même si votre organisme n’est pas formellement dans l’obligation de désigner un délégué à la protection des données, il est fortement recommandé de désigner une personne (déclarer un DPO) disposant de relais internes, chargée de s’assurer de la mise en conformité au règlement européen et de gérer les risques. Le délégué constitue un atout majeur pour comprendre et respecter les obligations du règlement, dialoguer avec les autorités de protection des données et réduire les risques de contentieux
Mentions légales et Conditions d'Utilisation du site
Important encore plus aujourd'hui qu'hier, indiquez clairement sur votre site dans les Mentions Légales et dans les Conditions Générales d'Utilisation du site qui est l'éditeur de votre site, qui est responsable des contenus, qui est l'hébergeur et comment joindre ces différents responsables.
Formulaires en ligne : rappeler les conditions d'utilisations des données
Exemple de clause : "Les données à caractère personnel que vous nous communiquez feront l'objet d'un traitement automatisé aux fins de gestion de votre demande. Vous disposez d'un droit d'accès, de rectification, de suppression, de limitation et d'opposition conformément à la règlement sur la protection des données à caractère personnel. Pour exercer vos droits il suffit de ..."
Passer en https ?
Dès lors que vous captez des informations personnelles, ne serait-ce qu'à travers un formulaire de contact, il vous est demandé de prendre toutes les précautions nécessaires pour protéger ces informations personnelles contre une écoute malveillante. Le passage en https (informations cryptées) devient dès lors fortement recommandé.
Opt-in ou Opt-out
Si vous détenez des fichiers de prospection opt-out en BtoB voilà ce que dis la CNIL :
"Selon le mode de prospection (email, téléphone ou sms) que vous utilisez, les personnes sollicitées doivent au préalable avoir donné leur accord (la notion de consentement) pour recevoir vos messages (opt-in) ou ne pas avoir exprimé leur refus (opt-out)."
L’opt-in, c’est obtenir l’accord préalable du destinataire de la publicité : s’il n’a pas dit « oui », c’est « non ». C’est le cas pour envoyer de la publicité « B2C » (du professionnel au consommateur) par email, SMS, MMS, automate d’appels ou fax.
L’opt-out, c’est le contraire, lorsque le destinataire de la publicité ne s’est pas opposé : s’il n’a pas dit « non », c’est «oui». C’est le cas pour la publicité « B2B » (de professionnel à professionnel) adressée par email et « B2C » adressée par voie postale ou par téléphone.
Les emailing OPT OUT sont autorisés par la CNIL en B2B