Etes-vous concerné par la Réglementation Européenne sur la protection des données (RGPD) ?

• Oui, si vous avez un fichier et que vous stockez les données personnelles (date de naissance, adresse mail etc..).
• Oui, si vous avez un fichier de contacts à qui vous envoyez des emailings / newsletter.
• Oui, si vous avez des salariés et que vous stockez leurs données personnelles.
• Oui, si vous avez un fichier client.

 

Les 6 principes du RGPD.

Légitimité, honnêteté et transparence   Indique le type de données collectées et pourquoi elles sont collectées.

Limitation du traitement   Les données collectées le sont pour un traitement spécifique.

Minimisation des données   Ne sont gardées que les données personnelles utilisées pour atteindre l'objectif initial

Exactitude   Les données inexactes sont effacées ou rectifiées

Limitation de stockage   Sont supprimées les données qui ne sont plus nécessaires au traitement initial

Intégrité et Confidentialité   Garantir une sécurité appropriée

 

Attention aux données sensibles.

Pour Isabelle Falque-Perrotin, Présidente de la CNIL

​

"Il faut en finir avec l’alarmisme sur le RGPD ! Avec ce guide, nous voulons montrer aux PME que se mettre en conformité c’est facile, en adoptant simplement de bons réflexes. A l’heure où les consommateurs sont de plus en plus soucieux de leurs données personnelles, proposer une relation de confiance à ses collaborateurs, clients, prospects, c’est aussi utile à l’entreprise. Enfin, un couperet ne va pas tomber sur les entreprises le 26 mai."

 

Si vous détenez des données sensibles, vous devez être plus vigilant. (voir la définition de la CNIL)

 

Consultez votre juriste

Dans tous les cas, il est recommandé de demander un avis à votre juriste, le seul habilité à vous donner des conseils pertinents en fonction de votre situation personnelle. 

 

Déclarer un "DPO"

La désignation d’un délégué à la protection des données (DPO) est obligatoire si :

• Vous êtes un organisme public ;
• Vous êtes une entreprise dont l’activité de base vous amène à réaliser un suivi régulier et systématique des personnes à grande échelle, ou à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions.

Même si votre organisme n’est pas formellement dans l’obligation de désigner un délégué à la protection des données, il est fortement recommandé de désigner une personne (déclarer un DPO) disposant de relais internes, chargée de s’assurer de la mise en conformité au règlement européen et de gérer les risques. Le délégué constitue un atout majeur pour comprendre et respecter les obligations du règlement, dialoguer avec les autorités de protection des données et réduire les risques de contentieux.

• Désignation d'un délégué à la protection des données
• Besoin de plus d'informations allez directement sur le site de la CNIL

 

Mentions légales et Conditions d'Utilisation du site

Important encore plus aujourd'hui qu'hier, indiquez clairement sur votre site dans les Mentions Légales et dans les Conditions Générales d'Utilisation du site qui est l'éditeur de votre site, qui est responsable des contenus, qui est l'hébergeur et comment joindre ces différents responsables.

 

 

Formulaires en ligne : rappeler les conditions d'utilisations des données

Exemple de clause : "Les données à caractère personnel que vous nous communiquez feront l'objet d'un traitement automatisé aux fins de gestion de votre demande. Vous disposez d'un droit d'accès, de rectification, de suppression, de limitation et d'opposition conformément à la règlement sur la protection des données à caractère personnel. Pour exercer vos droits il suffit de ..."

 

Passer en https ?

Dès lors que vous captez des informations personnelles, ne serait-ce qu'à travers un formulaire de contact, il vous est demandé de prendre toutes les précautions nécessaires pour protéger ces informations personnelles contre une écoute malveillante. Le passage en https (informations cryptées) devient dès lors fortement recommandé.

 

 

TLS ou SSL ?

La nouvelle réglementation prend quelquefois des aspects très techniques. Pour faire simple, il faut que le serveur soit en TLS plutôt qu'en SSL et all-in-web est en TLS. Et donc nous sommes en conformité sur ce point et vous n'avez rien à faire ! Lire l'article de la CNIL

 

Opt-in ou Opt-out

Si vous détenez des fichiers de prospection opt-out en BtoB voilà ce que dis la CNIL :

 

"Selon le mode de prospection (email, téléphone ou sms) que vous utilisez, les personnes sollicitées doivent au préalable avoir donné leur accord (la notion de consentement) pour recevoir vos messages (opt-in) ou ne pas avoir exprimé leur refus (opt-out)."

 

• L’opt-in, c’est obtenir l’accord préalable du destinataire de la publicité : s’il n’a pas dit « oui », c’est « non ». C’est le cas pour envoyer de la publicité « B2C » (du professionnel au consommateur) par email, SMS, MMS, automate d’appels ou fax.
• L’opt-out, c’est le contraire, lorsque le destinataire de la publicité ne s’est pas opposé : s’il n’a pas dit « non », c’est «oui». C’est le cas pour la publicité « B2B » (de professionnel à professionnel) adressée par email et « B2C » adressée par voie postale ou par téléphone.

 

 

Les 4 actions à mener pour une mise en conformité: 

 

Source : CNIL

 

1. Constituer un registre de ses traitements de données.
2. Faire le tri dans ses données
3. Respecter les droits des personnes. Le RGPD renforce l’obligation d’information et de transparence à l’égard des personnes dont les données sont traitées.
4. Sécuriser ses données. Si le risque zéro n’existe pas en informatique, les mesures nécessaires doivent être prises pour garantir aux mieux la sécurité des données. Vous êtes en effet tenu d’assurer la sécurité des données personnelles détenues.