RGPD : Définition et guide pour être en conformité

Mercredi 2 février 2022 4 minutes

Il vous est sûrement déjà arrivé d’entendre parler de RGPD et de vous être senti perdu face à toutes ces règles qui peuvent paraître complexes. Et pour cause, de nombreuses entreprises ont reçu des sanctions pour ne pas avoir respecté le règlement. Dernièrement, la CNIL a mis une amende record de 150 millions d’euros à YouTube et de 60 millions d’euros à Facebook pour ne pas avoir demandé à leurs utilisateurs l’autorisation d’utiliser des cookies.

Mais comment être conforme ? Que faut-il appliquer ? Et que risque-t-on en cas de non-respect du RGPD ?

rgpd

Le RGPD c’est quoi ?

On a tous déjà renseigné des informations sur nous ou notre identité à des organismes. Comme par exemple lorsque l’on s’inscrit à un programme, lorsqu’on accepte une carte de fidélité ou lorsque l’hôpital nous demande de remplir un dossier médical. C’est sur ces données que le RGPD intervient.

Le RGPD (règlement général sur la protection des données) est un règlement européen qui encadre la protection des données depuis 2018. Il a remplacé la loi française « Informatique et libertés » du 6 janvier 1978.

Ce règlement régit la protection des personnes physiques sur le traitement de leurs données personnelles et concernent tous les pays de l’Union Européenne.

Il concerne toutes les données qui permettent d’identifier une personne physique.

Cela peut concerner :

  • Le nom
  • L’adresse
  • Le numéro de téléphone
  • Les données de localisation
  • L’adresse IP
  • Le numéro de sécurité sociale

Quel est l’objectif du RGPD ?

En instaurant le RGPD, la Commission européenne souhaite que :

  • Les utilisateurs aient le contrôle de leurs données
  • les entreprises garantissent une transparence sur l’utilisation des données auprès des utilisateurs

Qui est concerné par le RGPD ?

Le RGPD concerne tous les organismes public ou privé tels que les entreprises, les associations ou les administrations publiques. Le but est de responsabiliser tout organisme qui traite des données personnelles.
Ce règlement s’applique aux entreprises se trouvant dans l’Union européenne et aux entreprises qui s’adressent à un public européen (comme Facebook par exemple).

Qu’est-ce que la CNIL ?

La CNIL (commission nationale de l’informatique et des libertés) est une autorité qui est chargée de veiller à la protection des données personnelles depuis la loi Informatique et Libertés de 1978. Elle agit au nom de l’Etat sans être placé sous l’autorité du gouvernement ou d’un ministre. La CNIL informe et accompagne les organismes dans leur mise en conformité mais est également chargée de contrôler et de sanctionner ceux qui ne respecte pas le règlement.

Les étapes à suivre pour être en conformité avec le RGPD

1- Constituez un registre de vos traitements de données

Si vous traitez des données personnelles, il va falloir dans un premier temps que vous teniez un registre. Ce dernier doit comporter une liste détaillée de tous les traitements des données que vous possédez.

Lorsque l’on parle de traitement de données, on parle de toutes les actions que l’on peut effectuer sur des données personnelles. A titre d’exemple, cela peut concerner la collecte des données sur les formulaires de contact ou d’inscription ou la mise à jour d’un fichier fournisseur.

Ce registre permet de comprendre concrètement les actions menées sur ces données ainsi que l’intérêt de l’utilisation de ces données.

Sur ce registre, vous allez devoir mentionner entre autres :

  • Les personnes qui vont intervenir dans le traitement de ces données ;
  • Le type de données que vous avez recueillies ;
  • A quoi elles servent ;
  • Combien de temps elles seront conservées ;
  • Les mesures de sécurité mis en place ;

Ce registre est souvent confié au délégué à la protection des données appelé aussi le DPO. Il est en charge de vérifier que l’organisme applique bien les règles de conformité. Le DPO est choisi par l’organisme. Sa désignation est obligatoire pour les autorités ou les organismes publics et pour les entreprises qui traitent des données dites sensibles. Les données sensibles sont celles qui vont donner des informations sur l’origine de la personne, ses convictions religieuses, son orientation sexuelle etc.

Registration

2- Faites le tri dans vos données

Une fois votre registre effectué, vous devez faire un tri dans vos données.

En quoi cela consiste ?

Il s’agit de vérifier que les données que vous traitez soient nécessaires à votre activité. Pour cette partie, prenez le temps de faire un tri dans toutes les données que vous collectez et supprimez celles qui ne vous servent pas. De même, vous évitez les données dite « sensibles » sauf dans certains cas mais pour cela vous devez vérifier votre droit de les traiter.

L’objectif de cette étape est de supprimer toutes les informations inutiles.

3- Respectez les droits des personnes

Il s’agit ici d’un point très important. Dans cette étape, on parle de respecter le droit des personnes et de garantir une transparence envers eux.

Comment procéder ?

Il est obligatoire d’informer les personnes sur comment vous allez utiliser leurs données et il faut que celles-ci donnent leur consentement. Pour cela, vous devez indiquer tout ce que vous avez pu noter dans le registre effectué en amont. Vous allez donc expliquer pourquoi vous collectez ces données, qui a accès à ces données, combien de temps vous allez les conserver etc.

Comment indiquer ces informations aux utilisateurs ?

Si on collecte des données via un formulaire, il est très courant de ne pas indiquer directement sur le formulaire toutes les informations concernant l’utilisation et le traitement des données. Ces informations prennent beaucoup de place et il n’est pas agréable pour l’utilisateur de les lire sur un formulaire.

En général, on va plutôt leur demander d’accepter la politique de confidentialité via une case à cocher. Et sur cette case, on inclut un lien vers la politique de confidentialité qui se trouve sur une page de votre site internet. Il est conseillé de mettre un lien vers la politique de confidentialité dans le footer (bandeau en bas de page) de votre site.

A noter également que lorsque l’on parle de respecter le droit des personnes cela signifie que ces personnes doivent avoir la possibilité d’accéder à leurs données et elles doivent pouvoir les modifier et les supprimer. Ce qui veut dire qu’elles doivent pouvoir vous joindre facilement.

Qu’en est-il des cookies ?

En ce qui concerne les cookies aussi appelés traceurs, tout organisme qui en utilisent sur leur site internet, leur application ou leur réseau social doivent impérativement recueillir le consentement des utilisateurs. Les utilisateurs ont le choix de pouvoir accepter ou refuser. Tant qu’ils n’ont pas donné leur consentement, les cookies ne peuvent être déposés ou lus sur leur terminal.

4- Sécurisez vos données

Enfin pour être conforme, il est primordial de sécuriser les données collectées. Bien sécuriser ses données peut être très complexe et la CNIL le confirme. Elle explique que le risque 0 n’existe pas mais qu’il faut prendre les mesures nécessaires pour les sécuriser.

Voici quelques recommandations pour améliorer cette sécurité :

  • Mettre à jour régulièrement les antivirus et logiciels
  • Faire des sauvegardes régulièrement
  • Choisir des mots bien sécurisés à l’aide par exemple de générateurs de mot de passe et les changer régulièrement

Ne négligez pas cette partie car si vous faites face à un problème de sécurité, l’impact peut être très conséquent que ce soit pour vous ou vos clients.

Quelles sont les sanctions prévues en cas de non-respect du RGPD ?

Si vous ne respectez ces règles, vous pouvez être sanctionné par la CNIL. Cette sanction peut avoir lieu suite à un contrôle de la CNIL ou suite à un dépôt de plainte d’un utilisateur auprès de la CNIL.

Les sanctions varient en fonction de la gravité (taille de l’entreprise, nombre de données collectées, type de données collectées etc.). Il peut s’agir d’un avertissement, d’une amende ou d’une injonction de cesser le traitement.

sanctions

Vous l’aurez compris, la protection des données est un sujet très sérieux qui touche pratiquement tout le monde. Tout organisme qui traite des données doit suivre un protocole de mise en conformité pour respecter le RGPD et éviter des sanctions par la CNIL. Ce protocole passe par la constitution d’un registre de traitements de données, le tri de données, le respect des droits des personnes et la sécurisation de ces données. Pour vous aider n’hésitez pas à désigner un délégué à la protection des données et pour plus d’informations, vous pouvez consulter le site de la CNIL.

KPulse la meilleure solution de gestion du marché

Par Cintoudja Sankaran, SEO Manager
Publié le Mercredi 2 février 2022

Partager cet article

Recommandé pour vous
Voir plus de publications
Nos dernières vidéos
Voir toutes les vidéos

Envie de devenir un expert de la gestion d'entreprise ?

Abonnez-vous à notre newsletter et recevez des conseils pratiques et des ressources gratuites pour gérer votre entreprise.