Scroll to top of page

RGPD : les 6 commandements

Le RGPDRGPDLe RGPD (Règlement Général sur la Protection des Données) est la dernière directive européenne, promulguée en 2016, sur la protection des données à caractère personnel. Learn more, ou Règlement Général sur la Protection des Données, sera effectif le 25 mai prochain. Votre entreprise n’est pas encore en complète conformité avec ce nouveau règlement européen ? Ou certaines questions restent en suspens malgré les multiples réunions avec votre cabinet d’avocat ?

Le RGPDRGPDLe RGPD (Règlement Général sur la Protection des Données) est la dernière directive européenne, promulguée en 2016, sur la protection des données à caractère personnel. Learn more ne doit pas rimer avec scénario catastrophe, et pour cause : c’est au contraire l’opportunité de consolider la confiance entre votre entreprise et les internautes, et de mieux maîtriser vos données. Ce règlement s’applique de la même manière aux 28 pays de l’Union Européenne, et a pour objectif principal de renforcer la protection des données personnelles. Pensé pour répondre aux évolutions des usages, notamment liées à l’apparition du digital, ce règlement renforce les droits des citoyens en matière de protection et d’accès aux données. Confiance des utilisateurs et sécurité des données : deux éléments stratégiques essentiels pour une marque qui vise un développement sain et durable. De plus en plus inquiets face à la sécurité de leur vie privée et de leurs données sur Internet (et le scandale de Cambridge Analytica et Facebook en est l’exemple !), les internautes doivent pouvoir reprendre la main sur leurs données personnelles. Beaucoup d’entreprises, et ce sans distinction de secteur ou de département, utilisent les données personnelles des usagers pour leur stratégies : recrutement, prospection, ciblage.... Mais elle ne savent pas toujours par quoi commencer. Pas de panique, nous vous expliquons en 6 points clés l’essentiel du RGPD !

1. Le consentement tu demanderas

Premier pilier du RGPD qui reste encore souvent ignoré sur internet : les données peuvent être traitées seulement si la personne concernée y a consenti, et ce de manière explicite. Ce principe d’opt-inopt-inL'opt-in et l'opt-out désignent la manière dont le consentement d’une personne a été recueilli en vue de l’usage de ses données (envoi d’une newsletter, inscription à un jeu...).Learn more, habituellement réservé aux campagnes d’emailingemailingL'emailing est un canal CRM qui consiste à réaliser des opérations marketing ou de communication par mail, auprès d'une base CRM ou PRM. Learn more, devra être généralisé pour tous les types de données collectées. Cependant, le consentement n’est pas la seule base légale pour effectuer un traitement de données : l’intérêt légitime, ainsi que l'exécution d’un contrat entre l’entreprise et l’utilisateur, constituent également un cadre propice au traitement.

Dans un objectif de transparence, si le traitement de la donnée suit plusieurs finalités, le consentement de l’utilisateur sera requis pour chacune d’entre elles. Si l’utilisateur accepte par exemple que l’entreprise utilise ses données pour recevoir une newsletter, il ne consent pas nécessairement à ce qu’elle diffuse cette donnée à un partenaire.

Un consentement éclairé

La RGPD définit le consentement de la personne comme “ toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement. »

Source
 : RGPD, Chapitre I, article 4, 11

2. L’information tu communiqueras

Avant même d’obtenir le consentement de l’utilisateur, l’entreprise responsable du traitement des données doit être en mesure de pouvoir fournir aux internautes une information claire sur la manière dont les données seront utilisées, de façon à faciliter l’exercice de leurs droits.

Comment sont collectées mes données, et où sont-elles stockées ? Pour combien de temps ? Puis-je transférer mes données d’un acteur à un autre en faisant appel au droit à la portabilité des données ? Si je change d’avis, le droit à l’oubli est-il possible ? En bref, les entreprises doivent pouvoir répondre à la question : dans quelle mesure les usagers peuvent-ils rester maîtres de leurs données personnelles ?

D’autre part, l’information doit être présentée de manière compréhensible pour tous, sans nécessairement entrer dans des détails techniques ou juridiques, par exemple. Cela implique pour les professionnels de développer une communication claire, à visée pédagogique, pour expliciter au mieux leur politique de gestion des données auprès des internautes. Cette information doit également être facilement accessible : la transparence est le maître mot !

3. Les finalités et limitations tu définiras

Les données doivent être collectées pour des finalités déterminées à l’avance par l’entreprise en charge du traitement. Bien entendu, ces finalités doivent être à la fois légitimes et explicites. D’autre part, une durée “raisonnable” d’usage et de stockage doit être déterminée. Selon les recommandations de la CNIL, “une fois que l’objectif poursuivi par la collecte de données est atteint, il n’y a plus lieu de conserver les données et elles doivent être supprimées”. Par exemple, si un prospect n’a plus donné signe de vie depuis 3 ans, ses coordonnées doivent être effacées.

4. L’exactitude tu respecteras

Les données collectées doivent être exactes, et même tenues à jour lorsque cela est nécessaire pour leur traitement. Dans le cas contraire, celles-ci doivent être supprimées de la base de données de la société. Carrefour Banque a notamment reçu l’an dernier un avertissement de la part de la CNILCNILLa Commission Nationale de l'Informatique et des Libertés (CNIL) est une autorité administrative indépendante française, dont le rôle est de veiller à ce que l'informatique ne porte atteinte ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques ; elle régit les conditions de collecte et d'utilisation des données.Learn more en lien avec l’inscription de plus de 38 000 clients à une date qui était inexacte. En effet, des données erronées peuvent porter préjudice aux consommateurs, et c’est l’entreprise qui effectue le traitement de ces données qui est également responsable de leur actualisation.

5. La sécurité tu renforceras

Ce principe est l’un des enjeux les plus importants dans le monde digital aujourd'hui. L’objectif ici est d’une part de mettre en place des mesures qui garantissent la sécurité des données des utilisateurs, et d’autre part de définir des processus clairs et efficaces pour limiter les dégâts en cas d’éventuel piratage ou fuite de données. On se souvient des multiples fuites de données personnelles, notamment sur les réseaux sociaux : Snapchat en 2014, Uber en 2016, Instagram en 2017, ou encore Facebook en 2018… Personne ne semble à l’abri !

6. Tes responsabilités tu endosseras

Enfin, le dernier principe fondateur du RGPD (et pas des moindres) : la responsabilisation de l’entreprise en charge du traitement des données, qui doit être capable à tout moment de prouver la validité des données et la conformité de son processus de traitement, de la collecte à l'analyse. Ce principe est particulièrement important puisqu’il se trouve considérablement renforcé, par rapport à ce qui est prévu par la Loi Informatique et Libertés de 1978.

Le règlement européen précise cette partie en prévoyant la nomination d’un responsable clair au sein de l’entreprise, capable de conseiller les responsables du traitement des données et les décisionnaires : le délégué à la protection des données personnelles ou DPO (Data Protection Officer).

En cas de non-respect de ces principes, de lourdes sanctions sont prévues. En effet, les amendes peuvent atteindre 20 millions d’euros, ou 4% du chiffre d’affaires mondial. Mieux vaut prévenir que guérir !

Pour vous préparer au mieux au RGPD, découvrez les 6 étapes recommandées par la CNIL et retrouvez notre article sur l'accompagnement par une data company et un cabinet d'avocats.

Sources :
eMarketer, Western Europe Digital Trends for 2018
Site officiel de la CNIL

Avec la participation de Léa Kaniewski. 

Want to learn more? Get in touch!

19-04-2018

close legal

À propos

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Donec a venenatis dolor, non ornare ligula. Nam ultricies elementum tellus, sed pulvinar libero egestas nec. Fusce facilisis nulla vestibulum, commodo neque eget, dapibus lacus. Aliquam neque felis, sagittis nec consequat sed, commodo ac ipsum. Sed neque tortor, semper quis viverra et, malesuada et eros. Donec at dui ut ligula pharetra aliquet. Etiam dapibus semper orci. Integer efficitur dolor tortor, nec mattis elit placerat vel. Ut nulla enim, lacinia in pharetra id, convallis vitae massa. Donec neque est, tincidunt non ullamcorper commodo, tincidunt non turpis. Pellentesque viverra enim a sapien placerat, ut volutpat mauris condimentum. Proin tincidunt sollicitudin dui, sit amet condimentum ante commodo a. Aenean posuere aliquam purus, sed aliquam magna sagittis finibus. Morbi molestie feugiat feugiat. Phasellus tempus in dolor vel maximus. Cras efficitur sagittis lorem porta iaculis. Maecenas sed hendrerit urna. In mattis posuere purus, sit amet placerat arcu posuere quis. Etiam nec arcu nec magna interdum maximus. Integer sit amet lacus neque. Curabitur interdum molestie magna, in scelerisque tellus iaculis sed. Sed nec metus ut purus efficitur laoreet a quis eros. Proin dui dui, dignissim eget risus sit amet, bibendum condimentum velit. Maecenas in justo eu elit eleifend consectetur. Aenean scelerisque fringilla sollicitudin. Nam sem nibh, pharetra nec lacus non, mollis interdum odio. Aliquam sollicitudin posuere nibh sed eleifend.

Édition

55 SAS, 5 — 7 rue d'Athènes

75009 Paris

+33 1 76 21 91 37

Hébergement

OVH SAS

2, rue Kellermann

59100 Roubaix

+33 8 20 69 87 65

Publication

Lan Anh Vu Hong

Crédits photo

Mats Carduner, Adobe Stock & Unsplash

Vous avez aimé nos nouvelles fraîches sur l'état du marché brandtech ? Inscrivez vous à notre newsletter