.st0{fill:#FFFFFF;}

Conseils RGPD pour 2022 : quelles obligations pour les entreprises ?

rgpd 2022

RGPD. Vous avez souvent entendu ce sigle, vous savez qu’il renvoie au Règlement Général sur la Protection des Données, mais vous ne savez pas exactement à quoi il fait référence.

Pourtant, vous savez que derrière ces quatre lettres, se cachent des enjeux importants pour votre entreprise… En 2022, il est temps de faire le point sur ce qui est important pour la création d’entreprise et pour les PME, notamment dans un marché de plus en plus digital. 

Vous êtes entrepreneur et vous êtes perdu face au RGPD ? Vous vous demandez quelles sont vos obligations en matière de protection des données ?

Vous pouvez consulter le texte du Règlement dans son intégralité, ou celui de la loi qui le transpose en droit français, ou encore lire la documentation mise à disposition par la CNIL, ou alors … vous pouvez suivre ces conseils pour être en règle !

RGPD

RGPD... quésaco ?

Le sigle RGPD ou GDPR en anglais renvoie au « Règlement général sur la protection des données ». Ce Règlement européen du 27 avril 2016 assure la protection des personnes en définissant les règles applicables au traitement et à la circulation des données personnelles. Il offre un cadre juridique unique aux professionnels dans toute l’Union européenne.  

Le RGPD été transposé en droit français par une loi de 2018, qui s’inscrit dans la continuité de la loi Informatique et Libertés de 1978, en renforçant le contrôle par les citoyens de l’utilisation de leurs données.


1. Êtes vous concerné par le RGPD ?  

  • Vous êtes une entreprise, peu importe sa taille et son effectif
  • Vous êtes établi en France ou dans un autre État de l’Union européenne
  • Votre activité cible directement des résidents européens
  • Vous traitez des données personnelles (pour votre compte ou non)

Quelques exemples

De données personnelles

  • Le nom et le prénom ;
  • L’adresse, le numéro de téléphone, la date de naissance ;
  • Le numéro de sécurité sociale, le numéro client ;
  • Une donnée biométrique, l’ADN
  • Les goûts et habitudes etc.

De traitement de ces données 

  • Tenue d’un fichier clients
  • Collecte de données de prospects par un questionnaire ou formulaire
  • Tenue d’un fichier de fournisseurs
  • Édition d’une facture
  • Émission d’une carte de fidélité etc.

Si vous avez répondu OUI à ces 4 questions, vous êtes concerné par le respect des règles sur la protection des données personnelles. 

Traiter des données personnelles… ça veut dire quoi ?

  • D’abord, c’est quoi, une donnée personnelle ?

    La définition est très large puisqu’il s’agit de « toute information se rapportant à une personne physique identifiée ou identifiable ».
  • Alors, qu'est-ce que cela signifie, traiter des données personnelles ?

    La définition est à aussi très large, puisqu’il s’agit de « toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel ».


2. Quelles sont vos obligations en tant qu'entreprise ?

En tant que professionnel, vous devez vous assurer que les données personnelles soient :

Traitées de manière licite, loyale et transparente

Exactes et tenues à jour

Collectées à des fins déterminée, explicite et légitimes

Adéquates, pertinentes et limitées

Conservées pendant une durée raisonnable

Traitées de façon à garantir leur protection



Concrètement, ça veut dire quoi ? 


1. Vous ne pouvez collecter que les données strictement nécessaires au regard de l’objectif pour lequel vous les recueillez
 

Les données doivent être collectées pour atteindre un objectif déterminé. Elles ne doivent pas être collectées « au cas où » ou être utilisées à d’autres fins incompatibles .

Pour être sûr de ne pas vous tromper, posez-vous les bonnes questions : 

  • Quel est le but de ma collecte de données ? À quoi va-t-elle servir ? 

  • Est-ce que ce but est légitime, justifié au regard de mon activité ? 

  • Est-ce que cet objectif est compréhensible par tous ? 

.

Par exemple : 

Vous êtes cuisiniste et vous proposez une prise de rendez-vous sur votre site internet. Dans le formulaire en ligne, vous demandez à vos clients leurs nom, prénom, numéro de téléphone pour atteindre votre objectif (organiser un rendez-vous).

Mais vous n’avez pas besoin de connaître leur religion, ni leur numéro de sécurité sociale.



2. Vous devez tenir à jour la liste de vos fichiers et réévaluer régulièrement la cohérence entre les données collectées et vos besoins 

Vous devez régulièrement, vous poser la question suivante au sujet de chaque donnée que vous collectez : le recueil de cette donnée est-il toujours nécessaire pour atteindre mon objectif ?

Par exemple : 

Vous collectiez les dates de naissance de vos clients afin de leur envoyer des invitations spéciales lors de leurs anniversaires. Finalement, vous avez décidé de mettre fin à ce type de « promotion anniversaire ». 

Vous n’avez alors plus besoin de collecter les dates de naissance des clients.



3. Vous vous engagez à sécuriser le stockage des données que vous détenez 

En clair, vous devez prendre toutes les précautions nécessaires pour éviter la captation, les piratages et le détournement de fichiers.

Pour cela, vous pouvez mettre en place plusieurs mesures :

  • la mise à jour régulière de vos antivirus ;
  • le changement régulier des mots de passe ;
  • l’utilisation de mots de passe complexes ;
  • le chiffrement de vos données (dans certaines situations).
rgpd 2022
A noter : Si vous subissez une violation de vos fichiers contenant des données personnelles, vous devez le signaler à la CNIL dans les 72 heures. Et s’il existe un risque pour les droits et libertés, vous devez informer les personnes concernées sans délai.



4. Vous devez informer les personnes dont vous collectez les données

 Vous devez informer les personnes dont vous collectez les données sur différents éléments :

  • Quelles sont les données que vous collectez ? 

  • Quel est l’objectif de collecte de données (la finalité) ?

  • Quel est le fondement juridique de cette collecte de données (le consentement de la personne concernée, le respect d’une obligation légale…) ?

  • Qui aura accès à ces données (le responsable interne à l’entreprise, des partenaires…) ?

  • Combien de temps seront conservées ces données (3 ans, 5 ans après la fin de la relation contractuelle…) ? 

  • Comment les personnes peuvent-elle exercer leur droit d’accès, de rectification, d’opposition, d’effacement, à la portabilité et à la limitation du traitement (via une adresse mail dédiée…) ? 

  • Par quels moyens les personnes peuvent-elles exercer leur droit de consultation, rectification et suppression des données ? 

  • Les données sont-elles transférées en dehors de l’Union européenne ? 

Zoom sur … La politique de confidentialité 

Afin d’informer les personnes dont vous collectez les données sur tous ces points et satisfaire votre obligation de transparence, vous pouvez renseigner tous ces éléments dans une page de votre site internet consacrée à  votre politique de confidentialité. 

Si votre site contient des formulaires à remplir par les utilisateurs (formulaire de contact, de demande de devis, abonnement à une newsletter…), n’oubliez pas d’y mentionner votre politique de confidentialité et de proposer un lien vers la page de votre site internet qui y est consacrée.


Votre site internet est-il conforme au RGPD ?

  • Vous utilisez votre site internet à des fins professionnelles

1. Les mentions légales doivent être correctement publiées. Pour en connaître les spécificités selon votre situation, consultez le site du service public

2. Vous devez mentionner un moyen de contact pour que les personnes puissent exercer leurs droits par voie électronique.

3. Votre site internet doit respecter les préconisations générales de la CNIL en matière de protection des données. 

  • Vous proposez un formulaire de contact

Prévoyez d’y faire figurer les « mentions CNIL », dont les modèles sont disponibles en ligne.

  • Vous proposez l’abonnement à une newsletter

1. L’accès à votre site internet ne doit pas être conditionné à l’abonnement à votre newsletter.

2. Vous devez également faire apparaître les « mentions CNIL » lors de l’abonnement à cette lettre d’information.

  • Votre site utilise des cookies

1. Votre site utilise des cookies exemptés de consentement

 Vous pouvez simplement en informer les utilisateurs et leur rappeler que des réglages au niveau de leur navigateur peuvent leur permettre de les bloquer, avec des effets potentiellement négatifs pour le fonctionnement du site.

Les cookies exemptés de consentement sont « strictement nécessaires à la fourniture d'un service de communication en ligne expressément demandé par l'utilisateur, ou bien les traceurs qui visent à permettre ou faciliter la transmission de la communication par voie électronique »

2. Votre site utilise des cookies nécessitant le recueil du consentement préalable

Vous devez informer les utilisateurs et recueillir leur consentement préalablement au dépôt ou la lecture de cookies ou autres traceurs.

Pour cela, vous devez mettre en place un « bandeau cookies » sur votre site internet, qui répond aux exigences du recueil d’un consentement valide :
  • en informant l’utilisateur sur les finalités d’usages liées aux cookies ;
  • en fournissant à l’utilisateur la liste des responsables du traitement des données ;
  • en permettant à l’utilisateur de consentir par un acte positif clair ;
  • en permettant à l’utilisateur de faire un choix par finalité (par des cases à cocher) ;
  • en permettant à l’utilisateur d’exercer ses choix avec le même degré de simplicité ;
  • en permettant à l’utilisateur de revenir sur sa décision à tout moment.

Les cookies nécessitant le recueil du consentement préalable sont par exemple des cookies liés à la publicité personnalisée ou non personnalisée, ou liés à des fonctionnalités de partage sur les réseaux sociaux.


3. Quelles sont les sanctions en cas de non respect du RGPD ?

La CNIL opère des contrôles réguliers, en ligne ou sur place, de manière aléatoire ou suite à des plaintes des usagers.

En cas de non-respect des règles relatives à la protection des données personnelles, les sanctions peuvent aller du simple rappel à l’ordre à une sanction pécuniaire conséquente (4 % du chiffre d'affaires mondial ou 20 millions d’euros). 

rgpd 2022

Chez Digital 64, nous aimons les bons conseils. Et quand ils touchent à des domaines spécifiques et importants comme peut l’être ici le thème du droit et de la vie privée, nous faisons appel à des experts. 

Nous remercions donc Amélie Da Fonseca d’Astraiaandcom pour cet article et ses nombreux conseils. 

Si vous recherchez un partenaire marketing qui vous accompagne dans votre création de site Internet, ou dans votre communication digitale, tout en respectant les consommateurs, contactez-nous

Amelie Da Fonseca

L'auteur de cet article

Docteur en droit public, Amélie est rédactrice web juridique et chercheur au Centre de documentation et de recherches européennes de Bayonne. En tant qu'experte en droit, elle assure également des séminaires auprès des étudiants de l'Université de Pau et des Pays de l'Adour.

Boostez votre stratégie web !

Leave a Reply

Your email address will not be published. Required fields are marked

{"email":"Email address invalid","url":"Website address invalid","required":"Required field missing"}

Découvrez nos formations gratuites pour optimiser le
 marketing digital de votre entreprise.