Nous nous sommes tous déjà demandé comment sont utilisées ou encore divulguées nos données personnelles. Il arrive que certaines organisations utilisent et exploitent, de manière illégale, ces données. Autrement dit, ils s’en servent dans un but purement publicitaire ou en les revendant à des tiers.

Avez-vous entendu parler du nouveau règlement européen: RGPD ? Celui-ci entre en vigueur le 25 mai 2018. Il a pour objectif de renforcer la protection des données personnelles touchant toutes les personnes ayant un lien direct avec une organisation (clients, prospects, partenaires, salariés…). RGPD signifie Règlement Général sur la Protection des Données. Il est parfois nommé GDPR, ce qui signifie en anglais General Data Protection Regulation. Ce nouveau règlement européen est apparu en juin 2016 mais sera mis en vigueur le 25 mai 2018 afin de laisser le temps aux organisations concernées de se mettre en conformité.

Mais en quoi consiste ce nouveau règlement ? Qui est concerné par le RGPD ? Comment se mettre en conformité ? Cet article répond à toutes ces questions pour que vous soyez aux normes.

Quelle est le rôle de la protection des données ?

Tout d’abord, le RGPD donne la liberté, à tout individu, de garder la mainmise sur leurs données personnelles et de leur garantir un nombre de droit.

La protection des données des personnes physiques, est le moyen de les préserver au maximum des traitements qui peuvent être réalisés mais également sur la libre circulation de ces dernières.

En quoi consiste le nouveau règlement ?

La loi informatique et des libertés de 1978, modifiée en 2004, doit s’adapter à ce nouveau règlement. Cette dernière a permis la création de la Commission Nationale de l’Informatique et des Libertés autrement appelée la CNIL. Elle a pour rôle de protéger les données personnelles mais aussi de garantir une liberté individuelle. Toute organisation a pour obligation de déclarer l’ensemble des données personnelles qu’elle possède sur ses prospects et clients, ou bien faire une demande d’autorisation auprès de la CNIL pour collecter ces données.

Par exemple, les données récoltées sur les internautes sont très utiles pour le marketing direct, permettant ainsi d’analyser sa cible et de s’adapter en fonction des besoins des utilisateurs. Dans ce cas, comme indiqué précédemment, une autorisation de la CNIL doit être au préalable effectuée avant d’être en mesure de traiter les données des prospects.

Le RGPD se veut être le plus efficace possible en répondant à 3 objectifs:

  • Renforcer les droits des personnes.
  • Responsabiliser les acteurs lors des traitements de données personnelles.
  • Crédibiliser et renforcer la protection des données personnelles, y compris lors des transferts vers les pays de l’UE.

Pour en savoir plus sur ce nouveau règlement européen, le site de la CNIL  met en avant des articles qui vous informent à ce sujet pour être en conformité.

 

Êtes-vous concernés par le RGPD ?

Les entreprises concernées par ce nouveau règlement sont:

  • Celles qui traitent de manière automatisée des données personnelles sur des individus européens.
  • Celles qui utilisent un fichier informatisé afin de collecter des données à caractère personnel, que ce soit pour elles ou pour le compte d’un tiers.

Que nomme-t-on “données personnelles” ?

Selon l’article 2 de la loi informatique et des libertés (n°78-17), les données à caractère personnel sont des  « données qui se rapportent à des personnes identifiées ou identifiables ». Par exemple, le prénom, le nom, l’adresse postale, l’identifiant en ligne, etc.

La CJUE (Cour de Justice de l’Union Européenne) et la CNIL considèrent les adresses IP comme des données personnelles. Qu’elles soient statiques ou dynamiques, celles si doivent être déclarées ou faire l’objet d’une demande d’autorisation de la CNIL.

Enfin, l’outil statistique Google Analytics fournit des informations personnelles gratuitement (le temps passé sur le site web, l’adresse IP, le type de navigateur utilisé, etc…) permettant de construire un profil d’utilisateur. Étant donné qu’aux États-Unis la législation sur la protection des données est moins stricte qu’en Europe, l’utilisation de cet outil est donc problématique.

Voici 2 solutions proposées par la CNIL pour rester conforme à la  loi:

  • Il faut que l’internaute donne son consentement lors de l’utilisation d’outils non conforme. Ce qui est le cas avec Google Analytics.
  • Étant un outil dispensé de consentement, le cookie ne doit pas faire l’objet de traçabilité concernant les internautes. De plus, il est dans l’obligation de garantir une exploitation de données qui doivent demeurer anonymes lors d’analyses statistiques.

Au dépit de ne pas pouvoir utiliser cette outil inadapté, Motomo ou encore Chartbeats sont des outils d’analyses qui peuvent être utilisés en toute conformité.

Comment être conforme à ce règlement ?

Le site de la CNIL donne les étapes à suivre afin que vous soyez aux normes.

En voici 4 principales :

  • Désigner un délégué : DPO (Data Protection Officer)
    • Le délégué est responsable de la protection des données au sein de l’organisation. Il veille à ce que leur utilisation soit conforme à la loi. Les entreprises publiques et celles qui collectent de manière régulière des données sensibles à grande échelle sont dans l’obligation d’en désigner un. Voici quelques exemples de données sensibles: origines ethniques, opinions religieuses ou politiques, vie sexuelle, etc.
  • Être totalement transparent sur comment vous traitez les données
    • Vous devez être en mesure d’expliquer clairement, aux internautes et aux clients, à quoi vont servir leurs données personnelles et de quelle manière vous les traitez.
    • Informez-les de façon claire et cohérente votre objectif. Par exemple : Une enquête de satisfaction.
  • Renforcement des données personnelles
    • Il faut que vous soyez capable de prouver et de retrouver l’emplacement où vous stockez les données. Vous devez également prendre en compte vos prestataires de service, qui ont également des informations à caractère personnel sur votre clientèle (exemple: prestataires e-mailing).
  • Recueillir l’accord précis et éclairé des personnes opt-in
    • Vous devez impérativement demander aux personnes concernées si elles acceptent le transfert de leurs informations personnelles à des fins marketing ( comme l’e-mailing). Il vous faudra également être capable de le prouver.
    • Assurez-vous d’obtenir l’ensemble des accords opt-in de votre audience d’ici le 25 mai 2018. À savoir que jusqu’à maintenant, dans le B-to-B, il n’y avait pas d’obligation relatif à  la demande d’accord.

 

 

Conservation et sécurité des données personnelles

Il vous faut définir au préalable une durée de conservation des données collectées. Autrement dit, une fois l’objectif atteint, il n’est d’aucune utilité de conserver ces informations. Les supprimer est donc recommander. Prenons l’exemple d’un achat en ligne: Lorsque le client communique ses coordonnées bancaires, ces dernières n’ont le droit d’être conservées que sur la durée de réalisation de l’opération de paiement.

Quelles sont les sanctions ?

Voici différentes sanctions que vous pourriez rencontrer en cas de non respect du RGPD :

1 – Avertissement

2 – Mise en demeure

3 – Limitation temporaire ou définitive des traitements de données

4 – Suspension des flux de données hors UE

5 – Obligation de satisfaire aux demandes d’exercice des droits des personnes ou à la rectification.

6 – Limitation ou effacement des données

L’amende fait aussi partie des sanctions à ne pas négliger. Cette dernière peut varier de 10 à 20 millions d’euros ou bien encore 2 à 4 % du chiffre d’affaires mondial.

Ce règlement européen inflige également des sanctions pénales en cas de violation importante des obligations prévues. Vous pourriez encourir à 5 ans de prison.

Pour plus d’informations, n’hésitez pas aller faire un tour sur le site de la CNIL où tous ces points sont expliqués en détail.

LWS s’engage à respecter ce nouveau règlement

Sur notre site web lws.fr , vous pouvez avoir accès à nos Conditions de Vente Générales (CVG) dans lequel est stipulé dans l’article 11 – Données personnelles, que le client est en droit de rectifier, modifier et supprimer ses données à tout moment.

De plus, lors de la résiliation de votre compte, LWS s’engage à supprimer définitivement vos données personnelles dans un délais de 7 jours.