Ce qui va changer en 2018 pour la protection des données
Toutes les entreprises traitant des données informatiques ainsi que des données dites sensibles vont devoir prochainement s’adapter à un nouveau règlement nommé RGPD (Règlement Général sur la Protection des Données).
Ce règlement sera mis en application dès le 25 mai 2018. Une étude SerdaLab révèle que 55% des organisations ne savent pas que le RGPD entrera en vigueur à cette date ni qu’elles vont devoir s’adapter…
Il est donc temps de s’informer sur le sujet !
Cette réforme sur la protection des données a trois objectifs :
- Renforcer les droits des personnes
- Responsabiliser les acteurs traitant des données
- Crédibiliser la régulation
Concrètement, l’adoption de ce texte doit permettre à l’Europe de s’adapter aux nouvelles réalités du numérique.
En quoi consiste ce nouveau règlement ?
À l’heure de la transformation digitale qui pousse les entreprises, comme les particuliers, à partager de plus en plus de données, ce nouveau règlement va induire un grand nombre de changements, en particulier pour les e-commerçants.
Aujourd’hui vous partagez vos données personnelles constamment au travers d’actions très communes sans forcément vous en apercevoir.
Lorsque vous créez une carte de fidélité dans un magasin, faites une commande en ligne, payez au restaurant… et vous n’avez aucun contrôle sur l’utilisation qui sera faite de vos données !
Ce règlement va donc structurer la collecte, l’enregistrement, la conservation, la modification ou encore la destruction de toutes les données personnelles récoltées par les entreprises.
Tout d’abord, les organisations doivent nommer un « délégué à la protection des données« .
Les sociétés devront également tenir un registre des activités de traitement. Concrètement, pour l’envoi d’une newsletter ou le lancement d’une campagne marketing par sms, votre entreprise devra inscrire dans le registre des activités :
- Le nom et les coordonnées du responsable de traitement
- La description des catégories de personnes concernées (clients, prospects, adhérents, patients, enfants etc.),
- Le nom des personnes touchées, leur localisation ou toute autre donnée personnelle récoltée. Et ce que ce soit des éléments sur leurs identité physique, psychique, économique, culturelle ou sociale.
Parallèlement à ce registre, les sociétés doivent pouvoir prouver à tout moment le consentement des clients à ce que leurs données personnelles soient utilisées.
Exemple concret : Si un client accepte de recevoir une newsletter, l’entreprise doit noter la date de cet accord, le nom, le prénom ou encore l’adresse IP du client. Si le client retire son consentement, encore une fois l’entreprise devra noter la date ainsi que les informations clients.
La traçabilité du consentement doit exister de bout en bout, de l’accord jusqu’au retrait.
À qui s’adresse le RGPD ?
Toutes les entreprises sont touchées dès lors que les données récupérées concernent un résident européen, où que soit situé le siège de la société.
Le registre des activités de traitement est obligatoire pour toutes les entreprises de plus de 250 salariés. Cependant, les sociétés plus petites sont également concernées, si elles traitent de données sensibles ou si le traitement de données est une activité régulière. Nous pouvons donc en conclure que presque tous les e-commerçants doivent tenir ce registre.
Quels sont les risques en cas de contrôle ? Une amende fixée par la Cour de justice pouvant aller jusqu’à 20 millions d’euros ou 4% du CA pour les cas les plus importants.
Pour vous aider dans cette démarche d’adaptation au RGPD, la Cnil a réalisé un guide explicatif en 6 étapes. Clair et pratique ce guide s’accompagne également d’un logiciel open source d’analyse d’impact.
Laisser un commentaire