RGPD : Comment se mettre en conformité ?

Comment mettre votre site en conformité au RGPD?

Difficile de passer à côté depuis le 25 mai 2018, le Règlement Général sur la Protection des Données (RGPD) est entré en vigueur et applicable pour toutes les sociétés traitant des données personnelles de citoyens européens. Ce dispositif d’harmonisation du traitement des données à caractère personnel s’applique à toutes les structures : entreprises, collectivités, associations…

Ces nouvelles règles sont accompagnées d’un nouvel arsenal répressif piloté par la CNIL en France.

Qu’est-ce qui peut être considéré comme des données personnelles ?

Toute donnée permettant d’identifier directement une personne, ou indirectement par croisement de données.
On y retrouve bien entendu les noms, prénoms, adresse postale, email, informations de paiement et bancaires, mais aussi adresse IP, données de santé, numéro de sécurité sociale ou ordonnances. Cette liste n’étant bien entendu pas exhaustive.

Quelles sont les obligations de ma structure?

Tout d’abord, il faut :

  1. Lister les données personnelles (nature des données) que vous collectez et vous assurer de la légalité de leur collecte.
  2. Justifier pour chaque type de donnée les raisons de leur collecte et de leur stockage, et donc l’utilisation que vous pouvez être amené à en faire.
  3. Le format des données collectées.
  4. La durée de conservation de ces données.
  5. Vous assurer d’avoir obtenu le consentement de ces données et en conserver la preuve, tout en définissant la nature de ce consentement et la manière dont vous en avez conservé la preuve.
  6. La manière dont vous stockez vos données et leur localisation géographique.

Ensuite, vous devez :

  1. Définir les données qui sont obligatoires pour la réalisation de votre activité (ex. adresse de livraison et nom pour l’expédition d’une commande). Pour ces données, le
  2. Informer les utilisateurs de leurs droit et mettre à leur disposition des dispositifs vous permettant de répondre à leurs demandes d’exercice du droit d’accès, à des fins de consultation, rectification mais aussi de suppression. C’est une obligation d’information et de conseil des personnes concernées.
  3. Établir et informer les utilisateurs de votre politique de confidentialité.
  4. Tenir un registre des traitements de données dès lors que vous stockez les données de plus de 250 personnes.
  5. Vous assurer de la sécurité des moyens de stockage des données que vous avez mis en œuvre.
  6. Identifier et inscrire dans des documents légaux les conditions de transfert et de traitement des données personnelles par des tiers, ainsi que pour tout transfert de données vers un pays extérieur à l’Union Européenne. N’oubliez pas que vos outils statistiques (Google Analytics par exemple) et sociaux (Facebook, LinkedIn, …) collectent des données qui sont stockées sur le territoire américain.
  7. Éventuellement de nommer un DPD (délégué à la protection des données ou DPO aka Data Protection Officer) si votre entreprise est amenée opérer des traitements de données qui exigent un suivi régulier et systématique à grande échelle des personnes concernées, ou si votre entreprise traite des données sensibles (santé, origines raciales ou ethniques, convictions politiques ou religieuses, données pénales et de condamnation etc.). Le choix peut être fait d’internaliser et d’externaliser cette fonction.

Quels sont les risques en cas de non conformité?

Si un de vos clients, prospects ou concurrents adresse une plainte à la CNIL, cette dernière aura l’obligation d’effectuer un contrôle. La CNIL est d’ailleurs en cours de recrutement d’un grand nombre d’inspecteurs pour les affecter à ces contrôles. Le risque est donc réel.

Les infractions sont donc sanctionnées graduellement et en fonction de leur gravité :

  1. Avertissement ou une mise en demeure de l’entreprise fautive avec rappel du devoir de mise en conformité des traitements de données sensibles au RGPD.
  2. Injonction de cesser la violation.
  3. Sanctions administratives en cas de non-respect aux règles du RGPD après injonction vaine de l’autorité de contrôle.

Les sanctions administratives

Les sanctions liées à une exploitation abusive ou illégale des données personnelles sont particulièrement sévères : les amendes prévues peuvent atteindre en cas de manquement grave 4% du chiffre d’affaires mondial de la société ou 20 millions d’euros d’amende (la sanction appliquée sera la plus lourde des deux en fonction de la société).

Les sanctions pénales

Les sanctions pénales peuvent aller jusqu’à 5 ans d’emprisonnement et 300 000 euros d’amende (Article 226-16 du Code pénal).

IMPORTANT : cet article attire votre attention sur le déploiement du RGPD sur les outils en ligne : sites, réseaux sociaux, e-commerce. Une société, pour se mettre en conformité, doit établir un registre des données personnelles et sécuriser leur accès pour toutes les données détenues par la société, quel que soit leur support. Il convient donc de prouver la sécurisation des données mails, mais aussi des dossiers papiers, des données stockées en local ou sur un réseau interne ou autre, de les mettre à disposition des clients/utilisateurs concernés en pouvant expliquer l’utilisation qui peut en être faite, et de veiller à la durée de vie de ces données dans la société.

Nos prestations ne couvrent pas cette partie de la mise en conformité RGPD, un DPO pouvant être formé en interne ou recruté par la société (en internet ou externe) pour lui porter assistance et veiller à la bonne conformité de l’utilisation et du stockage des données personnelles collectées par la société.

Vous souhaitez de l'aide dans votre mise en conformité RGPD ?

Bénéficiez d'une formation RGPD.

PLUS D'INFORMATIONS

Décrivez vos besoins

* Champs obligatoires

Contactez-nous pour une mise en conformité de votre site et de vos outils.

PLUS D'INFORMATIONS
* champ obligatoire
Menu

<   Navigation | BEENOME

beenome