Actualités

Le RGPD pour les nuls


#données personnelles #sécurité #collecter des données #RGPD

Vous avez dû recevoir, comme tout le monde, plusieurs mails ces denières semaines concenant vos données personnelles sur le Web. Le RGPD (Règlement Général sur la Protection des Données) entre en vigueur ce vendredi 25 mai. Il s’agit de mettre un meilleur cadre à la gestion et l’utilisation des données personnelles sur le Web. En tant que professionnel, si vous avez un site Web vous êtes très probablement concené…

Je tente de vous expliquer tout ça simplement ;-) Le RGPD pour les nuls

Qui est concené par le RGPD ?

Les entreprises possédant un site Internet collectant des données. Si vous avez un site Internet pour votre entreprise (ou pour vos loisirs d’ailleurs) et que vous enregistrez des informations sur vos clients, vous êtes assujettis aux règles du RGPD.

Quelles données ?

Les données concenées sont de différents types, en principe toutes celles qui permettent d’identifier quelqu’un directement ou indirectement :
  • identité (nom prénom)
  • sexe / genre
  • âge
  • adresse
  • adresse e-mail, téléphone
  • détails physiques (données biométriques, médicales, voix, image…)
  • opinions politiques, religieuses
  • données bancaires
  • identifiants, numéros clients, numéro de sécurité sociale…
Si vous collectez ce genre de données, vous êtes soumis à des obligations sur la conservation, le traitement, l’utilisation de ces données, et sur l’information due aux personnes concenées.

Quelles sont les obligations ?

En tant que possesseur d’un site Internet qui collecte des données personnelles, vous devez répertorier la nature de ces données, leur utilité pour votre activité, et en informer les personnes dont vous connaissez les coordonnées.

1. Établissez un registre des données

Il s’agit d’un fichier avec une fiche par activité pour laquelle vous collectez des données. Ce registre est sous la responsabilité du chef d’entreprise. Le registre doit recenser toutes les activités habituelles pour lesquelles vous manipulez des données (gestion de fichier clients, logiciel de paie de vos salariés, newsletter du site Internet…).

2. Assurez vous que vous ne collectez pas des données inutiles

Etant donné que la collecte de données n’est pas anodine, vérifiez bien que vous ne demandez pas d’informations qui ne vous servent à rien dans votre activité, comme par exemple une date de naissance, ou une adresse.

3. Informez les personnes dont vous détenez les données personnelles

À chaque fois que vous enregistrez une information sur une personne, le support doit comporter des mentions d’information. Vous devez dire pourquoi vous demandez ces informations, dans quel cadre vous en avez besoin, qui va traiter les informations, combien de temps vous allez les conserver, et comment ces personnes peuvent faire valoir leur droits pour vous demander de les enlever de votre base de données. Si vous transférez ces données en dehors de l’Union Européenne, vous devez également le mentionner car la personne doit savoir quel pays est concené et quelle politique il a sur la gestion des données. Vous pouvez trouver ces mentions sur le site de la CNIL, et si elles sont longues, un renvoi vers votre page de mentions légales ou une page spécifique avec toutes les informations nécessaires peut s’avérer un bon moyen.

4. Attention à la sécurité des données

Suivant le niveau de sensibilité des données que vous stockez, vous devez être vigilant à leur sécurité. Il en va de la vie privée de vos prospects / clients. Pensez à changer régulièrement vos mots de passe, qui doivent avoir un niveau de sécurité satisfaisant, et mettez bien à jour votre antivirus si vous gardez ces données sur votre ordinateur. Si jamais vous vous apercevez que vous avez été piraté, vous avez l’obligation de prévenir les personnes dont les données peuvent avoir été volées. Si vous passez par un prestataire pour votre site Internet ou votre PGI / ERP, voici ses obligations.

Les sous-traitants : le contrat de sous-traitance

Une entreprise est considérée comme “sous-traitant” dès lors qu’elle gère des données pour ses clients. Elle doit conclure un contrat de sous-traitance avec ses clients pour bien définir leurs rôles respectifs dans le traitement des données.

Les rôles du sous-traitant :

  • garantir la sécurité des données de ses clients (sécurité des serveurs et des sauvegardes)
  • la gestion de l’effacement des données après un laps de temps convenu ensemble
  • la tenue d’un registre des données de ses clients (en plus de son propre registre des données)

Pour en savoir plus, voici un document complet édité par la CNIL

rgpd 4 etapes

 Crédit image : www.cnil.fr

Ajouter un commentaire

Votre adresse e-mail nous permet :

  • de vous reconnaitre et ainsi valider automatiquement vos commentaires après 3 validations manuelles consécutives par nos modérateurs,
  • d'utiliser le service gratuit gravatar qui associe une image de profil de votre choix à votre adresse e-mail sur de nombreux sites Internet.

Créez un compte gratuitement et trouvez plus d'information sur fr.gravatar.com

Chargement en cours ...