<img src="//bat.bing.com/action/0?ti=5118328&amp;Ver=2" height="0" width="0" style="display:none; visibility: hidden;">

Matinales RGPD : débriefing des 2 matinales enrichissantes sur le thème du RGPD

Par Julie Hamon le 1 mars 2018 |

Partager :

Le 30 janvier dernier, nous avons lancé une première matinale sur le thème du nouveau règlement de la protection des données (RGPD) en collaboration avec Adventiel. Suite à l’engouement suscité par ce premier événement, nous avons renouvelé ce partenariat et proposé une seconde matinale, qui a eu lieu le 20 février dernier.


Pour tous ceux et toutes celles qui n’ont pas pu se déplacer, nous souhaitions partager avec vous les principaux enseignements de ces interventions.

Comme vous le savez déjà, le 25 mai 2018 entrera en vigueur le nouveau règlement général sur la protection des données (RGPD). Les 3 principaux objectifs de cette nouvelle loi sont les suivants :

  • Renforcer le droit des personnes
  • Responsabiliser les acteurs
  • Crédibiliser la régulation

Notre but initial lors de ces deux matinales était de vous donner les clés pour appréhender cette nouvelle réglementation et surtout vous rassurer !

 RGPD


Olivier Jouan, responsable de la sécurité des systèmes d’information chez Adventiel nous a accompagnés lors de ces deux matinales et a partagé avec nous ses connaissances sur le sujet.


Mieux comprendre le règlement

Le RGPD est issu de l’Union Européenne (UE) et va concerner tous les citoyens européens, ainsi que les acteurs travaillant sur ce territoire. À l’heure actuelle, chaque pays de l’Union Européenne a ses propres lois, cela leur permet de plus ou moins contourner les lois européennes. Le RGPD permettra d’unifier toutes les pratiques au niveau européen et de garantir une protection renforcée du droit des personnes.


1- Renforcer le droit des personnes

Aujourd’hui, étant donné le nombre de données collectées chaque minute sur Internet, chacun d’entre nous a du mal à percevoir quelles sont les informations personnelles réellement détenues par une entreprise à notre sujet. La nouvelle loi demandera à chaque entreprise de déterminer et de communiquer précisément sur les finalités liées à la collecte des données (commercial, gestion du personnel, etc…).


Quels sont les principaux droits des personnes ?

  • Droit à l’information : à tout moment vous pouvez demander à une entreprise à consulter les informations qu’elle détient sur vous. Par extension, cela veut donc dire que vous pouvez demander à ce que ces données soient restituées, modifiées, ou supprimées … Et surtout, il faut que les entreprises puissent fournir aux intéressé(e)s une preuve de ces modifications.
  • Droit des mineurs : interdiction de collecter des données sur des mineurs de 15 ans et moins, sauf avec l’accord d’un représentant légal. À savoir qu’à leur majorité, ces personnes pourront revenir sur les droits accordés à telle ou telle entreprise.

2- Responsabiliser les acteurs

Quel est le plus gros changement du RGPD ? Les entreprises vont dorénavant devoir enregistrer, garder une trace de ce qu’elles font avec les données à caractère personnel. Elles vont devoir stocker ces informations dans ce qu’on appelle le registre. Cela correspond plus ou moins aux déclarations CNIL que nous devons faire aujourd’hui. Dans ces déclarations, la CNIL demande d’expliciter la finalité des données, comme par exemple l’identité du responsable de ce traitement, etc… Demain, au lieu d’envoyer ce formulaire à la CNIL, il faudra le garder en interne dans ce fameux registre.

La CNIL deviendra donc une autorité de contrôle et pourra demander à consulter ce catalogue des données.

 

3- Crédibiliser la régulation

Les CNILs européennes pourront travailler ensemble et avoir des actions conjointes pour contrôler des entreprises : elles vont notamment pouvoir échanger les informations entre elles. Autre changement : à partir du 25 mai prochain, les entreprises et leurs sous-traitants pourront être condamnés conjointement alors qu’aujourd’hui ce sont souvent seulement les entreprises connues du public qui sont épinglées pour les problèmes dans le traitement des données.

Il est donc extrêmement important de contractualiser ces informations avec vos sous-traitants : il est nécessaire de mettre par écrit qui s’occupe de quoi et pour quoi faire.

Les sanctions vont d’un simple avertissement à des amendes conséquentes. À savoir que les amendes seront également proportionnelles à la sensibilité des données concernées.

RGPD

 

Ce qui change avec le RGPD : créer un registre des traitements

Comme vous l’avez compris, il va donc falloir documenter en interne : établir et conserver les traces de la preuve d’exercice du droit des personnes. Vous avez probablement déjà un service client ou consommateur, vous pouvez donc dès maintenant signaler dans vos communications ou sur votre site Web : “si vous avez une contestation, une modification ou si vous souhaitez faire valoir vos droits relatifs à vos données à caractère personnel, veuillez appeler notre hotline”. Le passage par le service clients laissera forcément une trace de la modification des données. C’est déjà un premier point pour commencer.

Sur le registre des traitements, la loi est un peu ambigüe : les entreprises qui comptent moins de 250 salariés ne sont pas obligées de faire un registre. Cependant, si la CNIL vient vous contrôler, elle demandera en premier lieu ce registre. En réalité, peu importe la taille de votre entreprise. Ce que nous conseille Olivier Jouan (responsable RGPD chez Adventiel), c’est de garder une trace des données à caractère personnel en votre possession : par qui elles sont traitées et pour quelle(s) finalité(s). Ce registre peut tout simplement être un document tableur (Excel par exemple), il n’y a pas d’obligation quant au format de ce document.


Le RGPD en pratique

À partir du 25 mai 2018, il faudra donc démontrer que vous respectez la loi. Comme signalé précédemment, c’est ici que le registre prend tout son sens.

À savoir, pour la prospection commerciale :

  • il ne sera plus possible d’utiliser l’opt-in passif
  • il faudra s’assurer de la preuve de consentements des contacts existants et des fichiers acquis
  • les consentements devront être obtenus après une information claire et précise (pas à la douzième page d’un contrat par exemple)
  • les preuves de consentements devront être conservées
  • le profilage sera encadré comme vu précédemment (droit à l’oubli, à la portabilité etc…)
  • le transfert des données à d’autres organisations devra être accepté par la personne concernée

Pour commencer, il est donc crucial de cartographier les données présentes dans votre entreprise. Pour faire simple, vous pouvez vous demander pour chacun des services internes :

  • quelles sont les données en leur possession ?
  • quels en sont les usages ?
  • quelle est leur origine ?
  • à qui ces données sont-elles destinées ?
  • où sont-elles stockées, et pendant combien de temps ? En effet, selon le type de données, il y a une certaine durée de conservation à respecter.

Il faudra donc nommer en interne un responsable du traitement de ces données : le DPO (Data Protection Officer). Il sera l’interlocuteur de la CNIL en cas de problème.

 

Conclusion

Comme vous pouvez le voir, le sujet reste vaste. Merci beaucoup à l’entreprise Adventiel pour ces informations précieuses, nous avons été ravis de collaborer ensemble lors de ces matinales.

Si vous souhaitez en savoir plus, voici quelques sources d’informations :

  1. https://www.cnil.fr/professionnel
  2. https://www.lesechos.fr/idees-debats/cercle/cercle-167196-protection-des-donnees-personnelles-quest-ce-que-la-nouvelle-reglementation-va-changer-2070321.php
  3. https://www.google.com/url?hl=es&q=https://blogs.business.microsoft.com/fr-fr/2017/07/11/reglement-general-sur-la-protection-des-donnees-gdpr-pme-ou-en-etes-vous/&source=gmail&ust=1500543022956000&usg=AFQjCNH0krYHNrM_glF7uXN7XWnPBZT2mw

Nous avions également rédigé un autre article sur ce sujet l’année dernière. N’hésitez pas à le consulter si vous souhaitez approfondir ce sujet.


Notre objectif de 2018 est d’organiser de nouvelles matinales tout au long de l’année. Pour être sûr de ne rien manquer de nos événements, inscrivez-vous à notre Newsbetter.

Julie Hamon

Ecrit par Julie Hamon

J'ai rejoint Digitaleo en 2017 en tant que Chargée Marketing après deux ans à Londres au sein de l'agence 1000mercis. Passionnée par le marketing digital, je travaille quotidiennement avec les différents services de Digitaleo pour créer des contenus à destination de nos prospects et clients.
false