Présentation du RGPD
RGPD sont les initiales pour "Règlement Général sur la Protection des Données". Ce règlement encadre le traitement des données personnelles au sein de l’Union européenne.Il s’inscrit dans la continuité de la Loi française Informatique et Libertés de 1978 et permet désormais aux citoyens de connaître l’utilisation qui peut être faite de leurs données.
Bien qu'initialement conçu pour les GAFA (Google, Appel, Facebook, Amazon), la RGPD s'applique à toutes les sociétés collectant des données sur leurs visiteurs.Qui est concernées par le RGPD ?
Tous organismes (PME, TPE, établissements privées, établissements publics etc...) dès lors :- qu'il traite des données personnelles;
- qu'il est établie sur le territoire de l'UE ou que la collecte concerne des résidents européens.
Pour reprendre les exemples de la CNIL: une société établie en France, qui exporte l’ensemble de ses produits au Maroc pour ses clients moyen-orientaux doit respecter le RGPD.
De même, une société établie en Chine, proposant un site de e-commerce en français livrant des produits en France doit respecter le RGPD.
Le RGPD concerne aussi les sous-traitants qui traitent des données personnelles pour le compte d’autres organismes.
Ainsi, à partir du moment où vous traitez /collectez des données pour vous ou pour le compte d’une autre entité (entreprise, collectivité, association), vous avez des obligations spécifiques pour garantir la protection des données qui vous sont confiées.
Pour les moyens que vous devez déployer afin d'être en conformité RGPD (nomination d'un DPO, analyse d'impact, etc.) cela dépend du volume ou la sensibilité des données traitées ( Coeff le traitement des données sensibles).
Les TPE/PME qui n'ont pas comme activité principale la collecte des données, n’auront à déployer que des moyens limités.
Les données personnelles collectées sur votre site web
On parle de données "à caractère personnel" dès lors qu’elles concernent des personnes physiques identifiées directement ou indirectement.Une personne est "identifiée" lorsque par exemple son nom apparaît dans un fichier.
Aujourd'hui, vous devez indiquer aux utilisateurs de votre site internet, par le biais de votre politique de confidentialité, quelles sont les données que vous collectez (nom, adresse, géolocalisation etc). Vous avez une obligation de transparence dans vos relations avec vos interlocuteurs : clients, salariés, prospects, fournisseurs, etc.
Les données personnelles dites "sensibles"
Les données personnelles dites "sensibles" sont les données qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique.Le traitement de ces données est interdit! (Sauf cas limitativement énuméré par le règlement).
La politique de confidentialité des données
Parmi les obligations issues du RGPD, l'obligation d'information se concrétise par la préparation du document de présentation de votre "Politique de confidentialité des données".Informer et recueillir le consentement de vos utilisateurs
Vous devez mettre, à la disposition de vos visiteurs, une information sur votre collecte de données et sur leurs droits. Celle-ci s'exprime à travers votre politique de confidentialité et doit être claire, intelligible et aisément accessible aux personnes concernées par les traitements de données.Ainsi, vos visiteurs sont informés de l’usage de leurs données. Ils doivent donner leur accord pour le traitement de celles-ci, ou pouvoir s’y opposer. La preuve du consentement incombe au responsable de traitement, la matérialisation de ce consentement doit être non ambiguë.
Le contenu de la "Politique de confidentialité"
Ainsi, la politique de confidentialité vous permet d’exécuter votre obligation d'information de vos visiteurs. Au sein de ce document, nous détaillons:- les différentes données que vous collectez,
- la façon dont vous les collectez,
- pour quelle finalités les données son t collectés.
- droit d'accès,
- droit de correction,
- droit à l'effacement,
- droit à la portabilité des données,
- droit post-mortem
Questions Fréquentes sur le RGPD
Que risque-t-on si on ne respecte par le RGPD?La CNIL peut prononcer une amende administrative à votre encontre:
- Pour les défaillances relatives à la protection de la vie privée : allant jusqu'à 10 millions € ou de 2% du chiffre d’affaire;
- Pour les défaillances relatives aux manquement des droits des personnes allant jusqu'à 20 millions € ou 4% du chiffre d’affaire.
Le consentement n'est pas nécessaire pour la collecte de données lorsqu'elles sont collectées :
- Pour l'exécution d'un contrat (Ex : contrat de vente, de location, de travail, etc.) ou de mesures pré-contractuelles (ex : un devis, des pourparlers, etc.).
- Parce qu'un texte légal rend obligatoire certains fichiers (ex : le recensement de la population par l'INSEE, le registre unique du personnel, etc.).
- Pour l'exécution d'une mission d'intérêt public ou relevant de l'autorité publique (ex : constitution de fichiers de police, de l'administration fiscale, etc.).
- Pour sauvegarder les intérêts vitaux d'une personne (ex : en cas d'épidémie, dans les situations de catastrophe naturelle ou d'origine humaine, etc.).
- Pour un intérêt légitime (ex : la prévention de la fraude, les transferts au sein d'un groupe, la sécurité des réseaux, etc.) sauf si les intérêts ou les libertés fondamentales de la personne concernée prévalent.
