Le RGPD responsabilise les entreprises, mais aussi les organismes publics et privés à l’égard du traitement des données personnelles et à leur circulation. Votre entreprise collecte et/ou stocke des données personnelles ? EEnov vous explique comment adopter les bons réflexes et éviter de gros ennuis !
Connaître le RGPD, une obligation légale
Le Règlement Général sur la Protection des Données (RGPD) est entré en vigueur le 25 mai 2018. C’est LE texte de référence en matière de protection des données personnelles sur le web, mais pas que ! Afin de responsabiliser les acteurs du numérique et protéger les données des individus au sein de l’Union Européenne, la CNIL (Commission nationale de l’informatique et des libertés) veille à son respect et à sa mise en place sur tout le territoire.
RGPD : les droits des utilisateurs
L’objectif central des lois RGPD est de rendre accessibles et modifiables par leur propriétaire toutes les données personnelles collectées sur internet (réseaux sociaux, site web,…) et stockées au format numérique ou papier. Le droit des utilisateurs s’articule autour de trois piliers principaux :
- Supprimer, dans les plus brefs délais, des données personnelles qu’un citoyen leur demande d’effacer : c’est le droit à l’oubli.
- Donner aux propriétaires l’accès à leurs données afin de pouvoir les récupérer pour leur usage personnel et/ou de les transférer d’un organisme à un autre. C’est ce qu’on appelle le droit à la portabilité des données personnelles.
- Informer les utilisateurs de l’exploitation de leurs données mais aussi et surtout lorsqu’elles sont piratées et/ou hors du contrôle des organismes collecteurs : c’est le droit à l’information.
De plus, ces lois ont pour objectif de responsabiliser les collecteurs aux yeux de la loi, ils doivent pouvoir être transparents en cas de contrôle. Le traitement des données récoltées doit avoir un but. Le collecteur ne peut pas collecter et transférer les données personnelles juste pour constituer une base de données sans finalité précise.
Collecteurs, quels sont vos devoirs ?
La mise en œuvre du RGPD passe par 4 étapes clés :
La constitution d’un registre des données collectées : recenser et disposer d’une vue d’ensemble des données personnelles collectées et stockées par l’entreprise.
Le tri des données récoltées : s’interroger sur les types de données, les droits d’accès, le temps de conservation. Les données collectées sont-elles nécessaires pour l’activité de l’entreprise ? Sont-elles sensibles ? Tous les collaborateurs y ont-ils accès ? Combien de temps avez-vous le droit de les conserver ?
Le respect des droits des personnes : respecter l’usage des données personnelles en donnant à leur propriétaire toutes les informations nécessaires pour choisir de vous les confier ou pas. Parmi celles-ci : la mention de la finalité de la collecte, le temps de conservation des données, les modalités pour exercer les droits des utilisateurs, le partage des données avec des partenaires externes, etc.
La sécurisation des données collectées : prendre les mesures nécessaires pour garantir la sécurité des données collectées et éviter leur divulgation à des tiers non autorisés. Pour rappel, en cas de piratage, vous avez 72h pour faire un signalement à la CNIL.
Ces 4 points sont essentiels pour vous conformer aux obligations de la réglementation actuelle et à venir.
Quelles sont les sanctions liées à la non conformité au RGPD ?
La CNIL surveille les données collectées et met en place des moyens dissuasifs afin de lutter contre les défauts de conformité.
Le responsable du traitement des données de chaque organisme doit se mettre en conformité dans les meilleurs délais afin de ne pas s’exposer à la suspension des données récoltées ou à des sanctions pécuniaires importantes. Le montant des sanctions peut s’élever à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial. Ces sanctions peuvent être rendues publiques et donc nuire gravement à la réputation d’une entreprise.
Quelles sont les entreprises concernées ?
Toute structure publique ou privée faisant partie de l’Union Européenne qui récolte des informations à caractère personnel doit se mettre en conformité au règlement RGPD.
Si les grands groupes s’exposent à des sanctions plus élevées (à cause d’un chiffre d’affaires plus conséquent), ils ont en général un service juridique qui veille au respect des lois RGPD. Le risque est en revanche plus grand pour les plus petites structures (TPE, PME, associations, etc.) qui elles ne possèdent pas de service juridique et sont donc obligées de vérifier elles-mêmes la conformité de leurs outils de collecte et de stockage des données personnelles.
D’autres questions ? Consultez notre FAQ
Comment se mettre en conformité avec le RGPD ?
C’est à ce moment que EEnov intervient. Notre rôle est à la fois de vous proposer un audit de votre site web sur les critères du RGPD, mais aussi de vous proposer un accompagnement personnalisé pour faciliter sa mise en conformité. Organisation des données, sécurisation des données, respect des droits, EEnov s’occupe de tout !
L’accompagnement EEnov
Audit RGPD
Nous analysons l’ensemble de votre écosystème web sur près de 100 critères de conformité et vous proposons un plan d’action concret.
Mise en conformité
Nous mettons en place les bonnes pratiques sur votre site web et vos outils web pour vous mettre en conformité avec la loi et éviter les sanctions.
Boîte à outils
Nous vous proposons une boîte à outils complète pour mettre en place le RGPD dans votre entreprise (sécurisation des données, respect des droits des utilisateurs, etc.)
Discutons-en !
Prenez rendez-vous avec l’un de nos experts pour faire le point sur votre conformité aux lois RGPD.
Foire aux questions
Il s’agit de toutes les informations relatives à une personne physique susceptibles de l’identifier, directement ou indirectement via un recoupement de données.
Sur internet, les données sont collectées via les cookies d’un site web ou encore par l’intermédiaire des formulaires (contact, inscription à la newsletter, prise de rendez-vous…)
Pour rappel, la majorité numérique est l’âge à partir duquel un jeune peut donner son accord sur l’utilisation de ses données sans l’aval de ses parents.
En France, la majorité numérique est fixée à 15 ans. Cependant, le RGPD laisse libre droit aux pays signataires de fixer cette majorité plus tôt ou plus tard.
Il est obligatoire dans l’ensemble des 28 États membres de l’Union Européenne depuis le 25 mai 2018 (date de l’entrée en vigueur des lois sur la réglementation de la protection des données). Tous les acteurs ayant recours à la collecte de données personnelles doivent se conformer à ce règlement européen.
Le RGPD reste applicable au Royaume-Uni jusqu’au 1er Juillet 2021.
Après le 1er juillet 2021, à défaut d’une décision de la CNIL autorisant les transferts de données personnelles vers le Royaume-Uni, toute communication de données d’une personne physique vers le Royaume-Uni sera considérée comme un transfert de données vers un pays tiers.
Le décret du 29 mais 2019 permet dorénavant aux personnes comme aux organismes traitant des données, d’appréhender de manière plus claire leurs droits et obligations en matière de protection des données personnelles.
Le décret concerne notamment:
- Le délai accordé pour que les responsables attestent de leur conformité à l’injonction prononcée.
- Le délai accordé au responsable du traitement afin qu’il transmette à l’organisme de contrôle ses observations écrites.
- Les conséquences d’une exécution partielle ou tardive du rapport demandé.
Vous avez tout compris ? Testez vos connaissances sur les grandes règles du RGPD, les droits des utilisateurs et les devoirs des entreprises en termes de collecte et stockage des données personnelles en participant à un quizz.