Le RGPD, vous ne pouvez pas le manquer si vous naviguez sur internet ! Ce petit bandeau, message ou autre moyen vous indiquant que le site en question est susceptible de collecter vos données personnelles et comment elles seront traitées et sécurisées
Alors données personnelles, traitement des données, sécurisation des données et RGPD ? A quoi cela correspond-il et êtes-vous concernés ?
Dans cet article, je vais essayer de simplifier au maximum tous les termes techniques et juridiques pour vous l’expliquer, mais je ne vais rester qu’en surface car le sujet est très vaste. En fin d’article, je vous partagerai des liens vers mes sources et ressources utiles pour devenir un pro sur la protection des données.
Que veut dire RGPD et qu’est-ce que c’est ?
Le règlement général sur la protection des données ou RGPD remplace l’ensemble des lois sur les données nominatives issue de la loi de 1978.
Il est entré en vigueur le 25 mai 2018, et malgré plus de deux ans d’activités, beaucoup ne connaissent ni ses principes, ni son domaine d’application.
Ce règlement permet d’encadrer le traitement et la circulation des données dites personnelles sur le territoire Européen. Et oui le RGPD ne s’applique pas dans le monde entier.
Le RGPD est une sorte de procédure à suivre pour les collecteurs de vos données, dans notre cas, nos sites Internet, mais cela concerne aussi les données collectées sur papier.
Voici quelques axes principaux que cela comprend :
Etre responsable de son traitement de données, des objectifs et des moyens que celui-ci implique ;
Faire la liste des traitements de données : la CNIL propose un fichier exemple pour cela => lien vers le fichier https://www.cnil.fr/sites/default/files/atoms/files/registre-traitement-simplifie.ods;
Trier les données et identifier les risques ;
Respecter les droits des personnes ;
Sécuriser les données et surtout les données sensibles;
A qui s’adresse le RGPD ?
Vous l’aurez surement compris, le RGPD s’adresse aux organisation publiques ou privées qui travaillent avec des données personnelles (nous verrons cette définition plus bas).
Le RGPD est un règlement européen et il est obligatoire pour toute entreprise basée en Europe. Mais pas que, puisqu’il protège tout habitant européen. Donc si votre clientèle est basée en Europe mais que l’entreprise est situé en Inde, celle-ci doit appliquer les obligations définies dans le RGPD sur le traitement des données.
Voyons quelques exemples :
Petit cas pratique : j’ai une entreprise de e-commerce en Chine, je collecte nom, prénom, adresse et coordonnées bancaires de mes clients dans le monde entier ? Suis-je concerné par le RGPD ?
…
…
Réponse : Oh que OUI !! Et vous serez même en possession de données sensibles qui doivent être sécurisées. Même si votre entreprise n’est pas en Europe, le fait d’exporter vos produits dans le monde entier induit que certains de vos clients sont situés en Europe, et doivent donc être protégés. La réponse aurait été la même si votre entreprise était en France et dans ce cas même si votre unique clientèle est hors Europe.
Un second cas : je fais des pièces métalliques pour une entreprise automobile avec mes 5 salariés. Je n’ai pas de client à proprement parlé. Mon entreprise est située en Espagne. Suis-je concerné par le RGPD ?
…
…
Réponse : Et oui !! Même sans client, vous traitez des données personnelles… Celles de vos employés ! Vous verrez d’ailleurs que le fichier exemple du CNIL traite de la paie au moment où j’écris ces lignes. Un petit lien sur ce sujet : https://www.cnil.fr/fr/rgpd-en-pratique-proteger-les-donnees.
Qu’est-ce une donnée personnelle ?
C’est bien de protéger les données personnelles, mais encore faut-il les définir et ce n’est pas le plus simple.
On appelle « donnée personnelle » toute information se rapportant à une personne physique identifiée ou identifiable.
Donc si, grâce aux données, nous pouvons identifier une personne, ces données sont personnelles.
Par exemple, c’est le cas d’un nom et prénom, du numéro de sécurité sociale ou encore à des ensembles de données comme « une personne seule à l’adresse A, avec x enfant, de religion Chrétienne… ». Si le croisement de ces données permet d’identifier une personne, il faut les traiter comme des données personnelles.
Le terme de « donnée personnelle » est donc très large, d’où l’importance de mettre en place les dispositions du RGPD dans votre entreprise.
Cependant, les données concernant une personne morale ne sont pas des données personnelles, à condition qu’on ne puisse pas avec ces données remonter à une personne physique (exemple : mail générique, téléphone standard…). Mais je conseille quand même de tout traiter comme données personnelles.
Le RGPD en pratique
Il existe un nombre important de bonnes pratiques, et cela dépend aussi de la finalité de votre site mais dans les principales, nous avons :
- Les mention CNIL sur votre formulaire de contact (c’est rare d’en voir), et informer vos clients et utilisateurs sur le but de la collecte des données.
- Les mentions légales
- Un moyen pour l’utilisateur de contact ou de gestion de ses données que vous possédez
- Un certificat SSL (le fameux httpS) si vous faites de la vente en ligne.
- Sécuriser les paiements bancaires, pour cela des applications sont mises en place par les banques ou des entreprises tel que Stripe.
- L’obligation de sécurité : les mots de passe doivent être complexes et cryptés. Les données sensibles doivent être stockées de manière sécurisée.
- Et ne conservez que les données utiles à votre activité (mail, pseudo…) : le fait que le client ou l’utilisateur soit étranger, ou soit chrétien, ou autre chose de sensible ou non n’a pas d’intérêt à être conservé.
Cela concerne les sites Internet mais rappelez-vous plus haut, je parlais aussi de protéger les données de vos collaborateurs.
Pour cela, le CNIL a mis en place des ressources sur le sujet, la liste ci-dessus en est d’ailleurs tirée.
Elles sont consultables ici : https://www.cnil.fr/fr/rgpd-en-pratique-proteger-les-donnees.
Les sanctions
Et oui qui dit règlement, dit obligation, dit contrôle ! Et ça peut faire mal puisque l’entreprise risque jusqu’à 20 000 000€ d’amendes ou 4% du chiffre d’affaires en cas de non-conformité du traitement des données personnelles.
Sources et ressources :
CNIL : https://www.cnil.fr/
CNIL pour les dev : https://www.cnil.fr/fr/guide-rgpd-du-developpeur
Juritravail : https://www.juritravail.com/Actualite/protection-donnees-rgpd/Id/286054