Où en êtes-vous dans la protection des données personnelles ?
Depuis 2018, le RGPD s’applique à toutes les données personnelles des citoyens et résidents de l’Union européenne. Que signifie-t-il pour votre entreprise ? Comment vous assurez que vous êtes en conformité ?
Le RGPD quésaco ?
En 2016, le Parlement européen a adopté le RGPD (Règlement Général pour la Protection des Données personnelles). Ce règlement, entré en application en mai 2018, est destiné à simplifier et harmoniser la protection des données au sein des 28 pays de l’Union européenne, et à clarifier les obligations des entreprises collectant, gérant, ou stockant des données. Il modernise les vieilles lois de protection des données, comme l’ancienne loi « Informatique et libertés en France » pour les adapter à l’émergence du commerce omnicanal, aux réseaux sociaux et au Big Data (exploitation de quantités massives de données).
Évaluez gratuitement votre maturité numérique et obtenez un bilan personnalisé de votre présence en ligne, visibilité, réputation et développement commercial
En quoi le RGPD concerne votre entreprise ?
Vous avez des clients ? Un site web qui vous sert de boutique ou de vitrine d’exposition ? Vous manipulez d’une manière ou d’une autre des données personnelles. Vous devez désormais informer vos clients sur la politique en vigueur en matière de protection des données. Ce peut être par un message s’affichant en page d’accueil du site. Et à ce sujet, certains logiciels de gestion de contenu (ou CMS comme WordPress, Prestashop ou autres) proposent de précréer pour vous une page Confidentialité, à personnaliser suivant votre activité et vos besoins.
Vos clients peuvent également demander :
- la restitution de leurs données dans un format simple et transférable sur le web ;
- la rectification des informations les concernant en cas d’inexactitude ou d’erreur ;
- l’effacement de leurs données ;
- le transfert de leurs données vers de nouveaux prestataires.
Toute entreprise doit aussi s’engager à protéger les données de l’internaute et à réaliser une étude d’impact en cas de traitement des données à risque (données sensibles, telles que les données génétiques, biométriques, etc.). Attention dès lors, si ce n’est pas déjà fait, à sensibiliser vos prestataires sur cette nouvelle législation.
Quel risque en cas de non-application ?
Une amende est fixée à 4 % du chiffre d’affaires mondial annuel de l’entreprise. Son montant peut aller jusqu’à 20 millions d’euros, en cas de non-respect.
Comment tirer profit du RGPD ?
D’une contrainte, le RGPD peut devenir une force. Il vous oblige à bien connaître l’ensemble des données à votre disposition, et vous donne donc l’occasion de les exploiter de manière nouvelle : en proposant des offres de fidélité plus personnalisées par exemple. Il vous force à être plus attentif à la sécurité des données de vos clients, et par extension à celle de votre entreprise. Quitte à remettre à plat les procédures en adoptant les principes du Privacy By Design. Il redonne confiance en vous à vos clients et vous permet d’éviter des situations mauvaises pour votre image, comme le vol de données clients.
Comment marche le Privacy by Design ?
Encouragé par la CNIL, le Privacy by Design consiste à penser à la protection des données dès la conception d’une application, d’un produit ou d’un site. Il a également l’avantage de vous forcer à penser à la sécurité globale de l’outil dès le départ.
Voici ses 7 principes fondateurs :
- L’adoption de mesures préventives pour empêcher ou limiter les violations de protection des données personnelles, de votre part, de celles de vos employés ou partenaires, ou de cybercriminels.
- Partir d’un principe de protection des données personnelles par défaut, c’est-à-dire une protection automatique et implicite de ces données. Ne demandez et n’utilisez que ce qui est strictement nécessaire.
- Prendre en compte la protection de la vie privée des internautes dès la conception des systèmes de collecte de données personnelles, et adopter les bonnes pratiques à cet effet.
- Assurer la sécurité et la protection de la vie privée des utilisateurs dont les données personnelles ont été collectées tout au long du projet, mais aussi durant la période de conservation des données personnelles.
- Être transparent dans ses pratiques vis-à-vis des informations à caractères personnels. Y compris si vous êtes victime d’un piratage. Informez rapidement les personnes concernées.
- Le respect de la vie privée des utilisateurs concernés par cette collecte doit être assuré.
- La protection des données personnelles doit être holistique, c’est-à-dire pensée dans toute votre activité, et optimale.
En pratique, retrouvez les 5 points de vigilance pour assurer la conformité de votre site.
Comment savoir si vous êtes en parfaite conformité ?
Pour vérifier que votre structure informatique répond bien aux exigences de la loi, reprenez tous vos contrats passés avec vos prestataires informatiques, notamment s’ils vous fournissent un accès au cloud. Une fois toutes les vérifications opérées, en interne et en externe, vous pourrez demander un certificat européen, d’une durée de cinq ans, attestant de la conformité de votre entreprise.
Pour plus d’informations concernant l’ensemble du RGPD, rendez-vous sur le site de la CNIL. Vous y retrouverez tous les détails pratiques pour une mise en conformité.
