Vous avez dû recevoir, comme tout le monde, plusieurs mails ces dernières semaines concernant vos données personnelles sur le Web. Le RGPD (Règlement Général sur la Protection des Données) entre en vigueur ce vendredi 25 mai. Il s’agit de mettre un meilleur cadre à la gestion et l’utilisation des données personnelles sur le Web. En tant que professionnel, si vous avez un site Web vous êtes très probablement concerné… Je tente de vous expliquer tout ça simplement 😉

RGPD

Qui est concerné par le RGPD ?

Les entreprises possédant un site Internet collectant des données.

Si vous avez un site Internet pour votre entreprise (ou pour vos loisirs d’ailleurs) et que vous enregistrez des informations sur vos clients, vous êtes assujettis aux règles du RGPD.

Quelles données ?

Les données concernées sont de différents types, en principe toutes celles qui permettent d’identifier quelqu’un directement ou indirectement :

  • identité (nom prénom)
  • sexe / genre
  • âge
  • adresse
  • adresse e-mail, téléphone
  • détails physiques (données biométriques, médicales, voix, image…)
  • opinions politiques, religieuses
  • données bancaires
  • identifiants, numéros clients, numéro de sécurité sociale…

Si vous collectez ce genre de données, vous êtes soumis à des obligations sur la conservation, le traitement, l’utilisation de ces données, et sur l’information due aux personnes concernées.

Quelles sont les obligations ?

En tant que possesseur d’un site Internet qui collecte des données personnelles, vous devez répertorier la nature de ces données, leur utilité pour votre activité, et en informer les personnes dont vous connaissez les coordonnées.

1. Établissez un registre des données

Il s’agit d’un fichier avec une fiche par activité pour laquelle vous collectez des données. Ce registre est sous la responsabilité du chef d’entreprise. Le registre doit recenser toutes les activités habituelles pour lesquelles vous manipulez des données (gestion de fichier clients, logiciel de paie de vos salariés, newsletter du site Internet…).

2. Assurez vous que vous ne collectez pas des données inutiles

Etant donné que la collecte de données n’est pas anodine, vérifiez bien que vous ne demandez pas d’informations qui ne vous servent à rien dans votre activité, comme par exemple une date de naissance, ou une adresse.

3. Informez les personnes dont vous détenez les données personnelles

À chaque fois que vous enregistrez une information sur une personne, le support doit comporter des mentions d’information. Vous devez dire pourquoi vous demandez ces informations, dans quel cadre vous en avez besoin, qui va traiter les informations, combien de temps vous allez les conserver, et comment ces personnes peuvent faire valoir leur droits pour vous demander de les enlever de votre base de données. Si vous transférez ces données en dehors de l’Union Européenne, vous devez également le mentionner car la personne doit savoir quel pays est concerné et quelle politique il a sur la gestion des données.

Vous pouvez trouver ces mentions sur le site de la CNIL, et si elles sont longues, un renvoi vers votre page de mentions légales ou une page spécifique avec toutes les informations nécessaires peut s’avérer un bon moyen.

4. Attention à la sécurité des données

Suivant le niveau de sensibilité des données que vous stockez, vous devez être vigilant à leur sécurité. Il en va de la vie privée de vos prospects / clients. Pensez à changer régulièrement vos mots de passe, qui doivent avoir un niveau de sécurité satisfaisant, et mettez bien à jour votre antivirus si vous gardez ces données sur votre ordinateur.

Si jamais vous vous apercevez que vous avez été piraté, vous avez l’obligation de prévenir les personnes dont les données peuvent avoir été volées.

Si vous passez par un prestataire pour votre site Internet ou votre PGI / ERP, voici ses obligations.

Les sous-traitants : le contrat de sous-traitance

Une entreprise est considérée comme “sous-traitant” dès lors qu’elle gère des données pour ses clients.
Elle doit conclure un contrat de sous-traitance avec ses clients pour bien définir leurs rôles respectifs dans le traitement des données.

Les rôles du sous-traitant :

  • garantir la sécurité des données de ses clients (sécurité des serveurs et des sauvegardes)
  • la gestion de l’effacement des données après un laps de temps convenu ensemble
  • la tenue d’un registre des données de ses clients (en plus de son propre registre des données)

Si vous êtes clients chez Ouebsson vous allez très prochainement recevoir un contrat de sous-traitance et une proposition d’accompagnement pour vous aider à mettre en place le nécessaire pour que vous soyez en règle vis à vis du RGPD.

Libre à vous de nous demander de vous aider sur la mise en place, ou de le faire vous-même, ce qui est tout à fait possible si vous collectez peu de données.

Tout ceci est mis en place dans un souci de transparence entre les entreprises et les particuliers. Il s’agit de renforcer la confiance dans une époque où le Web est une jungle où on rencontre aussi bien des entreprises honnêtes et respectueuses que des gens peu scrupuleux utilisant les données pour générer du profit.

Pour en savoir plus, voici un document complet édité par la CNIL, et si besoin contactez-nous !

rgpd_4_etapes

Crédit image : www.cnil.fr