Go to Hackademy website

Le RGPD pour les nuls

Marie Ducrocq

Posté par Marie Ducrocq dans les catégories entreprise

image_thumb_650.png

RGPD, un acronyme devenu incontournable ces derniers temps et qui, rien qu’à la lecture de ce qui l’accompagne, peut vous rebuter.

Alors, allons-y tranquillement et décryptons ensemble ce que cela va changer et comment mettre en place les actions de conformité.

D’abord, faisons connaissance

Le Règlement Général sur la Protection des Données est le nouveau texte de référence européen en matière de protection des données personnelles.

Qui est concerné ?

  • Tout citoyen donnant son consentement pour le traitement de ses données personnelles :

L’objectif du règlement est de donner davantage de droits aux citoyens pour qu’ils soient avertis et puissent contrôler l’utilisation des données collectées à leur sujet.

  • Toute entreprise collectant et traitant des données à caractère personnel sur les résidents de l’Union Européenne :

Ce texte vise à donner plus d’obligations aux entreprises quant à la sécurisation et au traitement des données qu’elles collectent.

En pratique, qu’est-ce que cela change ?

Je suis utilisateur, je renseigne mes données, quelles sont les conséquences ?

En tant que consommateur, je ne vais plus cliquer sans réfléchir sur « J’accepte les conditions d’utilisation ».

Ou peut-être que si en fait.

Car ne nous leurrons pas, vous serez toujours sollicités sur les sites pour valider des parpaings d’informations sans pour autant prendre le temps de les lire.

La différence c’est qu’on vous aura prévenu. À vous d’être maître de vos données.

photo-1502604748462-61b99adef1cb_thumb_650.png

Quelques explications :

Un consentement c’est donner son accord.

Mais attention, si vous devez vous faire retirer l’appendice et que l’on vous explique que les bistouris ne sont pas stérilisés, vous avez le droit de refuser de signer le consentement (et je vous y incite fortement).

Ici c’est la même chose. De la même façon que vous êtes propriétaire de votre corps, vous êtes propriétaire de vos données personnelles.

Les entreprises doivent donc recueillir votre consentement avant de collecter vos données.

De plus, vous allez pouvoir :

  • accéder aux données stockées par les entreprises et le détail de leur traitement
  • corriger les informations inexactes
  • exercer votre droit :
    • à la limitation du traitement (isolation des données)
    • à la portabilité (export de données)
    • à l’opposition (arrêt du traitement des données)
    • à l’oubli, en retirant votre consentement (effacement des données sur toutes les plateformes concernées)

Je suis une entreprise, voici les 5 étapes à mettre en place

Vous allez devoir expliquer pourquoi vous collectez les données et comment elles seront utilisées. Et ceci pour chacune d’elles.

DReuYBQX4AA7o0w_thumb_650.png

1. Posez-vous la question de la nécessité des informations collectées et de la finalité qu’auront celles-ci.

Rien ne sert de collecter des données sensibles qui ne seront pas exploitées et pour lesquelles de lourds processus doivent être mis en place.

2. Mettez en place le consentement éclairé et sachez en apporter la preuve.

  • Soyez clair, explicite : pas d’ambiguïté ni de case pré-cochées (opt-in passif)
  • Le consentement doit être libre de choix : la personne concernée doit pouvoir refuser ou retirer son consentement de façon accessible.
  • Il doit être spécifique : le consentement aux CGV ou aux CGU doit être séparé du consentement au traitement des données.
  • Il doit être détaillé concernant les partenaires et autres parties prenantes de l’entreprise qui l’utiliseront.
  • Toutes les finalités pour lesquelles seront utilisées les données doivent être indiquées.
  • La durée de conservation doit apparaître.

N’oubliez pas que vous avez l’obligation de conserver une preuve des consentements.

3. Mettez en place un registre, pour cartographier les données.

Dans ce registre listez les activités pour lesquelles vous traitez des données personnelles (gestion de la paie, des fournisseurs, des prospects).

Puis vous devrez créer et tenir à jour une fiche de registre par activité :

  • Objectifs poursuivis (finalité : RH, marketing, mailing)
  • Catégories de personnes concernées (salariés, usagers, clients…)
  • Catégories de données collectées (adresses IP, états civils, données bancaires…)
  • et leur sensibilité (biométriques, politiques, ethniques…)
  • Durées de conservation des catégories de données
  • Mesures de sécurité (sauvegarde des données, contrôles d’accès…)
  • Catégories de destinataires des données :
    • organismes externes (filiales, partenaires)
    • sous-traitants (hébergeurs, prestataires…)
    • transfert vers des pays hors UE

Grâce à ce registre et à cette vision d’ensemble, le DPO (Délégué à la Protection de Données) de votre entreprise, pourra vous accompagner dans la mise en conformité. Ce n’est pas le travail d’un jour mais plutôt une démarche permanente dont le DPO devra être le pilote.

4. Revoir les contrats fournisseurs

Si vous donnez accès à vos données à l’un de vos sous-traitants, celui-ci devient alors coresponsable du traitement de ces données. Il faut donc interroger vos fournisseurs sur les modalités de leur mise en conformité au RGPD.

5. Violation de données

En cas de violation de données, les entreprises sont maintenant obligées de prévenir les personnes concernées : le salarié, le consommateur ou l’utilisateur mais également la CNIL au plus tard 72 heures après la découverte de la violation.

Notez que si vous ne respectez pas le RGPD, des sanctions seront appliquées. Celles-ci sont progressives en fonction de la gravité des manquements aux obligations. Elles peuvent donc aller de l’avertissement à une amende de 4% du chiffre d’affaires mondial de votre entreprise.

Je suis salarié, qu’est-ce que le RGPD va changer ?

Comme pour les collectes de données via les sites web, les entreprises collectent des données sur leurs salariés dès leur embauche.

Elles doivent donc vous informer sur l’utilisation de vos données (clause dans le contrat de travail) et vous permettre de donner ou de retirer à tout moment votre consentement quant à l’usage de votre image (trombinoscope d’entreprise par exemple).

Dès votre départ, toutes ces données doivent être archivées puis supprimées après la durée de prescription légale.

L’équipe Synbioz.
Libres d’être ensemble.

Articles connexes

Un peu de dessin dans ce monde de dev !

25/10/2018

Lire la suite...

Génération télétravail

30/08/2018

Bosser à 20 minutes ou à quelques stations de métro dans une ville dynamique est vraiment un pur bonheur. Et c’est ce que vivent environ 20 % d’entre nous. Mais pour la frange restante, soit 80 %, ce...

Les meetups se suivent et ne se ressemblent pas !

15/03/2018

Chez Synbioz, les meetups se suivent et ne se ressemblent pas… Lire la suite...

Synbioz pour Synbioz !

08/03/2018

Pendant deux jours, l’équipe Synbioz s’est consacrée à des projets internes : une grande débauche de code, de frites, de bières et bien entendu de café que j’ai mis en images rien que pour vous. Lire...