Le « Règlement Général sur la Protection des Données » encadre le traitement des données
personnelles sur le territoire de l’Union européenne.
Dans tous les secteurs d’activité́, les clients et les donneurs d’ordre seront très attentifs à la
mise en œuvre du RGPD par leurs fournisseurs ou prestataires.
Qui est concerné par le RGPD ?
Tout organisme quels que soient sa taille, son pays d’implantation et son activité, peut être
concerné. En effet, le RGPD s’applique à toute organisation, publique et privée, qui traite des données personnelles pour son compte ou non, dès lors :
qu'elle est établie sur le territoire de l’Union européenne,
ou que son activité cible directement des résidents européens.
Un « traitement de données personnelles » est une opération, ou ensemble d’opérations,
portant sur des données personnelles, quel que soit le procédé utilisé (collecte,
enregistrement, organisation, conservation, adaptation, modification, extraction,
consultation, diffusion, rapprochement).
Une « donnée personnelle » est « toute information se rapportant à une personne physique
identifiée ou identifiable ».
Une personne peut être identifiée soit directement (Nom prénom) soit indirectement (Identifiant, données …)
Exemple de données personnelles : Nom, prénom, Sexe, Age , adresse, mail, Tel, activités, taille, adresse IP, opinions politiques ou religieuses, santé…
Traitement : Un « traitement de données personnelles » est une opération, ou ensemble
d’opérations, portant sur des données personnelles, quel que soit le procédé utilisé
(collecte, enregistrement, organisation, conservation, adaptation, modification, extraction,
consultation, utilisation, communication par transmission diffusion ou toute autre forme de
mise à disposition, rapprochement).
Exemple : Tenue d’un fichier clients, collecte de coordonnées de prospects via un
questionnaire, mise à jour d’un fichier de fournisseurs …
Un traitement de données personnelles n’est pas nécessairement informatisé : les fichiers papier sont également concernés et doivent être protégés dans les mêmes conditions.
Les actions principales en vue d’une mise en conformité :
Constituez un registre de vos traitements de données : Disposer d’une vision d’ensemble des données que vous collectez, stockez ou manipulez
Faites le tri dans vos données : Sont-elles toutes pertinentes et utiles pour vos activités ?
Respectez les droits des personnes : Expliquer la finalité, recueillir le consentement, informer des droits d’accès, de rectification, d’opposition, d’effacement, de portabilité et de la possibilité de les exercer.
Sécurisez vos données : Prendre les dispositions pour garantir la sécurité des données, physiquement ou logiquement.
Désignez un DPO, délégué à la protection des données, pour informer, conseiller, coordonner, sensibiliser et faire le lien avec les autorités européennes.
Le DPO n’est obligatoire que ; si un ou plusieurs des traitements de données personnelles
est faite en vertu d’une autorité ou par une personne publique ; ou si les opérations et
traitements sont faits à grande échelle ; ou si les données traitées sont considérées comme «sensibles » ou font l’objet de transfert en dehors de l’Union Européenne (y compris au sein
du même groupe de sociétés).
Par conséquent, si vous êtes une entreprise nationale qui ne collecte que des emails et des
numéros de téléphones de clients et prospects sans autre particularité et sans données
sensibles, à petite ou moyenne échelle, vous n’êtes pas concerné par l’obligation de
désignation d’un DPO.
Mais même si vous n’avez pas besoin d’un DPO en interne, il peut être tout de même
nécessaire, pour respecter le RGPD, de désigner un pilote pour la gestion des données
personnelles de votre entreprise et montrer aux organismes régulateurs que les démarches
sont effectuées pour respecter les points du règlement.
A défaut, c’est le chef d’entreprise qui en assume les responsabilités.
Les bons réflexes :
1. Ne collectez que les données vraiment nécessaires pour atteindre votre objectif
2. Soyez transparent
3. Organisez et facilitez l’exercice des droits des personnes
4. Fixez les durées de conservation
5. Sécurisez les données et identifiez les risques
6. Inscrivez la mise en conformité dans une démarche continue
Toutes les informations, les outils et les conseils peuvent être retrouvées sur le site de la
CNIL.
Comments