Logo Allianz
Allianz
Allianz

Artisans, commerçants, indépendants... Tous se mobilisent pour se mettre en conformité avec le Règlement général sur la protection des données personnelles qui s’appliquera le 25 mai 2018. Focus sur les principaux impacts.

Évolutions technologiques et transformation numérique ont conduit le législateur à encadrer plus clairement, et dans un contexte juridique harmonisé, les règles de protection de la vie privée. Le Règlement général sur la protection des données (RGPD) vient renforcer la protection des données personnelles des citoyens au sein de l’Union européenne, mais repose sur une logique de conformité basée sur la responsabilisation des acteurs.

Qu’est-ce qu’une donnée personnelle ?

Il s'agit d'une information se rapportant à une personne physique identifiée ou identifiable : nom, numéro d'identification, adresse email, adresses IP, etc.

Qui est concerné ?

Si vous collectez, stockez ou utilisez des données personnelles de citoyens européens ou si vous
traitez des data personnelles pour le compte d’un tiers, vous êtes concerné par le RGPD.

Quelles sont vos nouvelles obligations ?

Le RGPD prévoit un certain nombre de mesures applicables en fonction du niveau de risque sur
les droits et libertés des personnes. Si vous êtes concerné(e), vous devrez notamment :

  • garantir les droits des citoyens en leur donnant plus de maitrise sur leurs données personnelles : droit à la portabilité, droit de rectification, droit à l’oubli, droit à la limitation du traitement ;
  • obtenir le consentement(1) explicite du client ou prospect lors de la collecte de données et en conserver la preuve ;
  • protéger les données dès la conception du produit ou service et par défaut (privacy by design) ;
  • mettre en oeuvre des mesures de protection des données appropriées (code de conduite, certification...) et démontrer cette conformité à tout moment ;
  • tenir un registre des traitements des données : les entreprises de moins de 250 salariés n’y sont pas tenues sauf si elles effectuent des traitements réguliers ou susceptibles de comporter un risque pour les droits et les libertés des personnes concernées ou portant sur des données sensibles. Cette exception n’a qu’une portée limitée car souvent les traitements sont permanents et non occasionnels comme par exemples ceux relatifs à la gestion du personnel ou de la clientèle ;
  • nommer un délégué à la protection des données (interne ou externe) : obligatoire si votre activité de base consiste à traiter des données à grande échelle impliquant un suivi systématique des personnes concernées ou des données sensibles ;
  • notifier dans les 72h la violation des données à la CNIL (en cas par exemple de cyber attaque).
    Vous devez informer les personnes concernées par cette violation si elle est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne ;
  • mener des analyses d’impact sur la vie privée pour :
    • déterminer les risques pour les droits et libertés des personnes concernées que présente un traitement de données ;
    • définir les actions à mettre en place pour faire diminuer ces risques et protéger les données. Ces analyses sont obligatoires pour tout nouveau traitement susceptible d’engendrer des risques élevés sur la vie privée des clients ou prospects.

Quelle est la sanction financière en cas d’infraction ?

La sanction peut aller du simple avertissement à une amende pouvant pour les entreprises en fonction du type d’infraction, aller de 2 à 4% du CA annuel mondial. Loin d’être une contrainte, cette nouvelle réglementation doit être vue comme une opportunité d’optimiser vos données, d’améliorer l’image « éthique » de votre entreprise et de renforcer son attractivité vis-à-vis de vos clients et prospects.

Pour se préparer au Règlement européen : www.cnil.fr

Quelques mesures pour protéger les données

  • Sécuriser les mots de passe avec 8 caractères minimum
  • Définir des niveaux d’habilitation selon les utilisateurs
  • Installer un logiciel pare-feu (firewall)
  • Limiter les ports de communication
  • Utiliser des antivirus régulièrement mis à jour
  • Prévoir une procédure de verrouillage automatique de session
  • Effectuer des sauvegardes fréquentes

(1) Le recueil du consentement n’est pas nécessaire lorsque ces données sont collectées :
- Pour l’exécution d’un contrat (ex : contrat de vente, de location, de travail, etc.) ou de mesures précontractuelles (ex : un devis, des pourparlers, etc.).
- Parce qu’un texte légal rend obligatoire certains fichiers (ex : le recensement de la population par l’INSEE, le registre unique du personnel, etc.).
- Pour l’exécution d’une mission d’intérêt public ou relevant de l’autorité publique (ex : constitution de fichiers de police, de l’administration fiscale, etc.).
- Pour sauvegarder les intérêts vitaux d’une personne (ex : en cas d’épidémie, dans les situations de catastrophe naturelle ou d’origine humaine, etc.).
- Pour un intérêt légitime (ex : la prévention de la fraude, la prospection commerciale, les transferts au sein d’un groupe, la sécurité des réseaux, etc.) sauf si les intérêts ou les libertés fondamentales de la personne concernée prévalent.