Vous avez sûrement entendu ou vu les acronymes RGPD ou GDPR sans trop comprendre de quoi cela parlait ? En fait il s’agit d’un nouveau règlement européen qui entre en vigueur le 25 mai 2018 et qui concerne la protection des données personnelles. RGPD signifie Règlement Général sur la Protection des Données (ce qui en anglais donne: General Data Protection Regulation ou GDPR). En tant que site marchand, vous collectez forcément des informations privées sur vos clients (adresses, téléphone, nom, prénom…). Vous êtes donc concernés par cette nouvelle réglementation.
Pourquoi un nouveau règlement sur la protection des données personnelles ?
Depuis 1978, la réglementation concernant Internet et ses usages ne cesse d’évoluer. La protection des données personnelles a toujours été au cœur des préoccupations. C’est d’ailleurs la loi dite « informatique et libertés » votée le 6 janvier 1978 qui a créé la Commission Informatique et Liberté, mieux connue sous l’acronyme CNIL.
Le nouveau règlement européen sur la protection des données personnelles est paru au journal officiel de l’Union européenne en juin 2016. Mais il n’entrera en application que le 25 mai 2018, le temps pour les entreprises concernées de se mettre en conformité.
Ce nouveau règlement répond à 3 besoins :
– l’harmonisation des règles applicables au niveau européen : le règlement sera le même quel que soit le pays du résident européen visé par un traitement de données
– responsabiliser les acteurs traitant des données personnelles : il faudra pouvoir prouver que vous êtes en conformité avec la Loi
– renforcer la protection des données à caractère personnel surtout dans le cadre de transfert de données hors de l’Union Européenne.
La CNIL propose de nombreux articles pour mieux comprendre ce nouveau règlement ainsi que les informations pour se mettre en conformité.
Etes-vous concerné par le RGPD ?
Les entreprises collectant des données à caractère personnel et les traitant de façon automatisée sont impliquées.
Qu’appelle-t-on données personnelles ?
Quand on parle de « données personnelles », il s’agit de « données se rapportant à des personnes identifiées ou identifiables ». Ainsi, les entreprises en B-to-B sont également concernées à partir du moment où elles collectent et exploitent des données relatives à des individus, soit des contacts identifiés chez leurs clients.
Ainsi [email protected] n’est pas concerné car la personne contactée n’est pas identifiée. Par contre votre client [email protected] est une donnée personnelle et doit donc être traitée comme telle.
En tant que e-commerçant, que ce soit en B-to-B ou B-to-C, vous êtes donc directement concernés. En effet pour pouvoir honorer une commande, vous devez demander un certain nombre d’informations dites personnelles.
Quel mode de traitement de ces données est impliqué ?
A partir du moment où ces données personnelles sont collectées dans un fichier informatisé, vous entrez dans le champ d’application du RGPD.
Ainsi, cela touche toutes les entreprises collectant et traitant de données relatives à des individus européens de façon informatisée, pour elle ou pour le compte d’un tiers.
Comment se mettre en conformité ?
Plusieurs étapes détaillées par la CNIL sont à respecter. Entre autre :
1/ Nommer un délégué à la protection des données
Ce délégué est également appelé DPD ou DPO (pour Data Protection Officer). Cela est obligatoire pour les entreprises publiques ainsi que celles qui réalisent un suivi régulier et systématique des personnes ou des données sensibles à grande échelle.
2/ Recenser et documenter comment vous traitez les données
Vous devez recenser de façon précise comment vous traitez les données personnelles dans un registre dédié et documenté.
A savoir :
– ce que vous faites des données,
– leurs catégories,
– les objectifs du traitement de ces données personnelles,
– l’identification des prestataires sous-traitants si vous en avez,
– les flux d’origine et de destination de ces données.
Par exemple en e-commerce ces données peuvent concerner :
– Les adresses, CP, villes qui sont recueillies pour livrer le produit au client. A moins que vous ne gériez la logistique en interne, il y a forcément transfert de données à votre logisticien. Il s’agit de recenser les informations transmises.
– L’email qui peut être utilisé pour informer le client du suivi de livraison et s’il a donné son accord, de recevoir des newsletters commerciales. Attention : vous devez pouvoir prouver que le client a bien donné son accord. L’opt-in passif (les cases pré-cochées notamment) est totalement interdit.
3/ Recueillir l’accord des personnes opt-in
A partir du 25 mai 2018, il faudra non seulement que les personnes acceptent explicitement de transmettre leurs informations personnelles à des fins de marketing (comme l’emailing) mais surtout vous devrez être capable de le prouver.
Si vous n’avez pas encore reçu l’accord d’opt-in de votre audience (surtout en B-to-B où il n’était pas obligatoire), assurez-vous de l’avoir d’ici au 25 mai prochain.
4/ Plus de transparence et de sécurité
De plus, il sera obligatoire pour les entreprise d’expliquer clairement et de façon visible le traitement et l’utilisation des données de leurs internautes et clients. C’est déjà ce que je conseille d’ajouter aux mentions légales, au regard de la CNIL.
Il s’agit de vous assurer également de ne demander que des informations nécessaires aux objectifs que vous vous êtes fixés. Et ainsi limiter la quantité de données traitées. Par exemple, il n’est pas nécessaire de demande l’adresse postale du client dans un formulaire de contact.
Enfin, les mesures de sécurité concernant les données personnelles doivent être renforcées. Vous devez par exemple pouvoir identifier et justifier là où vos données sont stockées. Sur la partie emailing, il faudra sûrement demander ces informations au prestataire de service que vous utilisez (Mailchimp, SendingBlue, Mailjet…).
Quelles sanctions sont prévues ?
L’Europe travaille à une réorganisation afin de créer un mécanisme de coopération et de cohérence entre les autorités concernées.
Si vous n’êtes pas en conformité, les sanctions prévues sont: avertissement, mise en demeure, limitation temporaire ou définitive du traitement, suspension des flux de données, obligation de satisfaire aux demandes d’exercice des droits des personnes ou à la rectification, limitation ou l’effacement des données.
Pour information, il sera possible pour les internautes de lancer des recours collectifs via des associations
S’agissant des amendes, elles sont fonction de la gravité :
– de 10 à 20 millions d’euros,
– ou 2% à 4% du chiffre d’affaires annuel mondial.
Le montant le plus élevé étant retenu.
N’hésitez pas à consulter le site de la CNIL pour des informations plus précises. Et si vous avez des particularités concernant votre activité, je ne saurais trop vous conseiller de demander l’avis d’un juriste. N’oubliez pas non plus qu’outre le RGPD, d’autres changements sont également à prévoir dans les années qui viennent !
À propos de l’auteur