RGPD et mentions légales : tout ce qu’il faut savoir pour se mettre en conformité

La RGPD entre en vigueur le 25 mai 2018. Êtes-vous sûrs d’avoir fait le nécessaire pour être en conformité ? Voici ce qu’il faut savoir.

RGPD

Article rédigé par Stanislas Almeida, de Orson.io

Le RGPD, on en entend de plus en plus parler et pour cause, il entrera bientôt en vigueur.

En effet, le 25 mai 2018, date butoir, se rapproche à grand pas et les entreprises, petites et grandes, se démènent pour le comprendre et l’appliquer au plus vite.

Cet article fait la synthèse de ce que nous avons compris et des actions que nous pensons nécessaire de mettre en place en interne sur les mentions légales, les contrats, les fournisseurs.

NB : dans un prochain article nous ferons un état des lieux des solutions « RGPD clés en mains » proposées pour les blogs et sites personnels ou de petites structures médias.

Eh oui, car il faut y penser ! La mise en application du RGPD demande une mise à jour de vos mentions. La question se pose: comment modifier ses mentions légales ? Peut-on encore faire confiance à un générateur de mentions légales et sa conformité juridique ?

Notre avis, dans cet article !

Le RGPD, qu’est-ce que c’est ?

Le RGPD, Règlement Général sur la Protection des Données à caractère personnel, est comme son nom l’indique un règlement européen visant à resserrer le contrôle quant à la protection et au respect des données personnelles et de la vie privée.

Contrairement à une directive, le RGPD est un texte de réglementation qui garantit donc une harmonisation juridique des 27 états de l’Union Européenne à compter du 25 mai 2018. Il vient se substituer à la Loi informatique et libertés de 1978 en renforçant le pouvoir de la CNIL, les droits des individus et les sanctions encourues.

Quelles nouveautés ?

Les principales nouveautés introduites par le RGPD sont l’apparition de nouveaux droits, et notamment le droit à la portabilité, à la limitation du traitement et à l’oubli.

Le droit à la portabilité veut que tout individu puisse récupérer toutes les données le concernant auprès de n’importe quel organisme pour les réutiliser comme bon lui semble.

Le droit à la limitation du traitement permet à une personne physique d’exiger la limitation du traitement de ses données. En faisant jouer ce droit, la personne physique contraint l’entreprise à stocker ses données sans les utiliser. Ce droit ne peut se faire valoir que si le traitement est illicite et/ou si les informations récoltées sont inexactes.

Le droit à l’oubli, lui offre à tout individu la possibilité d’obtenir l’effacement de toutes les données le concernant auprès d’un organisme. Par retrait du consentement, par injustification des données récoltées, opposition au traitement, etc…

Comme pour toute règle, des exceptions sont à connaître.

Il faut savoir que le droit à la portabilité des données ne s’applique pas s’il s’agit d’un traitement nécessaire à l’exécution de missions du service public.

Le droit à l’oubli, lui, ne s’applique pas aux traitements répondant à des objectifs d’archivage scientifique, historique ou nécessaires à l’intérêt public.

Les droits existants toujours d’actualité

Certains droits plus anciens ne doivent pas être oubliés. Ils sont toujours d’actualité dans le RGPD en particulier :

Le droit à l’information, c’est à dire le droit d’être tenu informé dès lors qu’il y a collecte de ses données même si celles-ci ont été obtenus auprès d’une tierce personne. Prenez connaissance des informations à fournir à vos internautes.

Le droit d’accès, qui stipule qu’une personne à le droit d’obtenir une confirmation quant à l’état de ses données (sont elles ou non traitées ?) et une copie de ses données.

Le droit de rectification. Droit qui permet de demander à compléter ou à rectifier ses données.

Le droit d’opposition, qui consiste à pouvoir dire non à un traitement de données à caractère personnel, à tout moment. Ou à s’opposer à l’utilisation marketing de ses données.

Le droit à la communication d’une violation de données à caractère personnel. Droit qui oblige le responsable de traitement à prévenir toute personne dont les données auraient été violées.

Que faire en tant qu’entrepreneur face à ces droits ?

Pour que le RGPD puisse réellement renforcer le droit fondamental à la protection des données personnelles et de la vie privée, tout entrepreneur doit mettre en avant les droits des individus sur son site internet. Les personnes physiques doivent être clairement informées de leurs droits et de la démarche pour les faire valoir.

Vous vous devez d’avertir explicitement les visiteurs de votre site internet de la récolte de données, leur demander un consentement (à savoir que l’absence de réponse négative ne représente pas un consentement) et leur exposer leurs droits.

Attention, si vous recevez une demande qui vise à faire valoir un de ces droits, vous devez y répondre au plus tard un mois après. Alors, en interne, veillez à faciliter l’accès à ces données, ainsi que leur rectification et leur effacement.

Quelles entreprises sont concernées par le RGPD ?

Que vous soyez représentant ou sous-traitant, petite ou grande entreprise, le RGPD vous concerne tant que vous:

  • traitez des données à caractère personnel,
  • récoltez des données de citoyens de l’UE même si vous ne disposez d’aucune entreprise au sein de l’UE (exemple: Facebook, YouTube ),
  • disposez d’une entreprise domiciliée dans l’UE, même si les données sont traitées hors UE.

De quelles données parle t-on ?

Par soucis d’une bonne compréhension, rappelons qu’une donnée personnelle est une donnée permettant d’identifier directement ou non un citoyen. Ainsi, les adresses IP, plaques d’immatriculation et autre, représentent aussi des données à caractère personnel.

Dans le cadre du RGPD, on parle de deux types de données. Les données non-sensibles et les données sensibles.

Une donnée non sensible peut être le nom, le prénom, la date de naissance ou encore le sexe d’un individu.

Une donnée sensible est une donnée relative à l’opinion politique, l’orientation sexuelle, la philosophie ou encore à l’origine raciale et ethnique d’un individu. Comptez aussi les données relatives à la santé d’une personne, aux domaines juridique ou pénale.

Quelques principes à respecter ?

Pour aider les entreprises à se mettre en règle, la CNIL a publié un guide de principes à destination des entrepreneurs.

Les 5 principes diffusés par la CNIL

La nomination d’un DPO

Il ne s’agit pas d’une obligation mais d’une recommandation. La CNIL incite les entrepreneurs à nommer un DPO (Data Protection Officer) qui s’assurera de la conformité et encadrera les traitements de données. Par ailleurs, ce DPO sera l’interlocuteur privilégié de la CNIL en cas de contrôle.

La mise en place d’un registre du traitement des données

Les entreprises sont appelées à dresser un registre des données afin de recenser les différentes données traitées en précisant le type de traitements exercés, les catégories de données traitées, l’objectif et la finalité des traitements, les différents acteurs qu’englobent les traitements, et l’origine de ces données ainsi que leur destination s’il y a transfert.

À savoir que les sous-traitants eux aussi se doivent de tenir un registre de traitement de données.

L’analyse d’impact

Afin de mieux encadrer et éviter les risques. Chaque entreprise se doit de mener des analyses d’impacts. Cette évaluation sera mené avec l’aide du responsable de traitement, des sous-traitants et du DPO s’il a été nommé.

Elle comprendra une description détaillée du traitement à appliquer ainsi que de ses finalités. Une justification des moyens mis en place pour traiter les données et pour finir, une évaluation des risques encourus par les droits et libertés des individus concernés par le traitement ainsi que des action mises en place par l’entreprise pour éviter ces risques.

Attention à mettre à jour cette analyse d’impact régulièrement.

L’organisation du processus interne en faveur de la protection des données

Puisque le RGPD vise à protéger les données personnelles d’utilisateurs, il est demandé à toutes les entreprises de garantir la mise en place de procédure de confidentialité et de sécurité de haut niveau. Et ce, dès la conception de tout traitement.

Sachez qu’en cas de violation ou de fuite de ces données, vous avez jusqu’à 72h pour en informer la CNIL ainsi que les individus concernés.

La constitution d’un dossier pour prouver la conformité de l’entreprise

En cas de contrôle de la CNIL, vous devez pouvoir prouver votre conformité. Pour cela, il vous est demandé de dresser un dossier avec toute la documentation nécessaire.

C’est-à-dire:

  • Votre registre de traitement.
  • Vos PIA.
  • Une présentation des mesures de protection des données exportées hors UE.
  • Vos modèles de recueillement du consentement des individus.
  • Vos procédures relatives à l’exercice des droits des individus quant à leurs données.
  • Les mentions qui informent les personnes physiques de la récolte et du traitement des données.
  • Tous les contrats entre les différents acteurs pour définir chaque rôle et responsabilité.
  • Les procédures mis en place en cas de violation et/ou de fuite de données.

Des changements dans les mentions légales ?

Les changements à envisager dans vos mentions légales se résument en un mot: transparence.

En adoptant un comportement totalement transparent vis à vis de vos visiteurs en ce qui concerne le traitement de données, vous serez en total accord avec le RGPD.

La transparence c’est à dire ? Très simplement, vous devez réserver une partie voire une page de votre site sur le traitement de données, dans laquelle vous informerez le visiteur de la récolte de données en précisant la finalité, l’utilisation, le temps de conservation ainsi que les droits qu’ils possèdent sur leur données et leur procédure d’application.

Prenez pour exemple, la page sur les cookies de presse-citron, qui mentionne tous ces éléments.

Si vous souhaitez faire usage d’un générateur de mentions légales, et que vous vous demandez si ces outils sont en conformité avec le nouveau règlement. Dites-vous que, à prioris, ces générateurs de mentions légales ont eu le temps d’être mis à jour depuis l’annonce du RGPD. Ceci dit, cela dépend toujours du générateur choisi. À vous de vous renseignez auprès de son éditeur afin de vous assurer de sa conformité juridique.

Quelles sanctions en cas de non conformité ?

Pour assurer le respect de ce nouveau règlement européen, les sanctions mises en place en cas de non conformité sont rudes: en plus d’un impact évident sur la réputation, il faudra compter 20 000 000 € d’amende ou 4% du chiffre d’affaires mondial de l’entreprise non conforme.

Entre ces deux sanctions, ce sera celle dont la valeur est la plus élevée qui sera appliquée. Des sanctions qui seront appliquées dès le 25 mai 2018. À savoir qu’aucun délais supplémentaires ou période de transition ne sera accordée.

Et si le RGPD représentait une opportunité marketing ?

Si nombreuses sont les entreprises qui craignent l’arrivée du RGPD, il ne faut pas y voir qu’un désavantage. Vous pouvez, au contraire y voir une opportunité pour renforcer vos relations clients.

En effet, en adoptant la transparence exigée par le RGPD, vous vous rapprocherez de vos clients. Vous verrez la confiance de vos clients renforcée considérablement.

Or, en marketing, posséder la confiance de ses clients vaut tout l’or du monde. Un client qui vous fait confiance est un client fidèle et un prescripteur hors pair.

Créer des politiques de récolte de données transparentes vous permettra de vous imposer face à la concurrence et d’obtenir le graal que représente la confiance de vos internautes.

En quelques mots …

Avant le 25 mai 2018, vous devez:

  • faire un état des lieux de vos bases de données existantes.
  • identifier leur origine, finalité, destination et durée de conservation.
  • vérifier que toutes ces données ont bien été récoltées légalement et conformément au RGPD
  • demander un consentement à toutes les personnes concernées par vos données
  • identifier les processus et dispositifs de collecte: formulaires, réseaux sociaux… ainsi que le type de données récupérées par tous ces dispositifs.
  • vérifier que vos sous-traitants sont tous en adéquation avec le RGPD
  • nommer un DPO
  • mettre à jour vos mentions légales

En faisant tout cela vous pourrez, en amont, mener votre analyse d’impact et dresser la documentation nécessaire à prouver votre conformité.

Pour finir, faites tout cela avec le sourire et pensez à l’opportunité que le RGPD représente pour vos relations clients !


Un commentaire

  1. « Le droit à la portabilité veut que tout individu puisse récupérer toutes les données le concernant auprès de n’importe quel organisme pour les réutiliser comme bon lui semble. »

    L’article 20 stipule : « Les personnes concernées ont le droit de recevoir les données à caractère personnel les concernant qu’elles ont fournies à un responsable du traitement », donc on ne doit fournir en version « portable » que ce que la personne a elle même communiqué et pas l’ensemble des données la concernant (données produite au fil du temps).

    « Chaque entreprise se doit de mener des analyses d’impacts » oui mais tout traitement n’a pas besoin d’avoir son PIA, seuls ceux répondant à certains critères en ont besoin.

    « En effet, en adoptant la transparence exigée par le RGPD, vous vous rapprocherez de vos clients. Vous verrez la confiance de vos clients renforcée considérablement. »

    Le RGPD est un règlement applicable obligatoirement pour toutes les entreprises donc tout le monde sera « RGPD » donc ça ne sera pas vendeur, ça le serait si c’était quelque chose de non obligatoire comme par exemple passer une certification ISO 9000 ou 27001 qui est en effet un « plus » par rapport à une mise en concurrence face à d’autres entreprises qui n’auraient pas de certification.

Commenter

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Presse-Citron 2005 - 2018 | A propos | Contact | Site hébergé par Cognix Systems | Informations sur les cookies