Le « Règlement Général sur la Protection des Données » encadre le traitement des données personnelles sur le territoire de l’Union européenne. Dans tous les secteurs d’activité́, les clients et les donneurs d’ordre seront très attentifs à la mise en œuvre du RGPD par leurs fournisseurs ou prestataires.

Qui est concerné par le RGPD ?

Tout organisme quels que soient sa taille, son pays d’implantation et son activité, peut être

concerné. En effet, le RGPD s’applique à toute organisation, publique et privée, qui traite des données personnelles pour son compte ou non, dès lors :

• qu’elle est établie sur le territoire de l’Union européenne,
• ou que son activité cible directement des résidents européens.

Un « traitement de données personnelles » est une opération, ou ensemble d’opérations, portant sur des données personnelles, quel que soit le procédé utilisé (collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, diffusion, rapprochement).

Une « donnée personnelle » est « toute information se rapportant à une personne physique identifiée ou identifiable ».

Une personne peut être identifiée soit directement (Nom prénom) soit indirectement (Identifiant, données …)

Exemple de données personnelles : Nom, prénom, Sexe, Age , adresse, mail, Tel, activités, taille, adresse IP, opinions politiques ou religieuses, santé…

Traitement : Un « traitement de données personnelles » est une opération, ou ensemble d’opérations, portant sur des données personnelles, quel que soit le procédé utilisé (collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission diffusion ou toute autre forme de mise à disposition, rapprochement).

Exemple : Tenue d’un fichier clients, collecte de coordonnées de prospects via un questionnaire, mise à jour d’un fichier de fournisseurs … Un traitement de données personnelles n’est pas nécessairement informatisé : les fichiers papier sont également concernés et doivent être protégés dans les mêmes conditions.

Les actions principales en vue d’une mise en conformité :

• Constituez un registre de vos traitements de données : Disposer d’une vision d’ensemble des données que vous collectez, stockez ou manipulez

• Faites le tri dans vos données : Sont-elles toutes pertinentes et utiles pour vos activités ?

• Respectez les droits des personnes : Expliquer la finalité, recueillir le consentement, informer des droits d’accès, de rectification, d’opposition, d’effacement, de portabilité et de la possibilité de les exercer.

• Sécurisez vos données : Prendre les dispositions pour garantir la sécurité des données, physiquement ou logiquement.

• Désignez un DPO, délégué à la protection des données, pour informer, conseiller, coordonner, sensibiliser et faire le lien avec les autorités européennes.

Le DPO n’est obligatoire que ; si un ou plusieurs des traitements de données personnelles est faite en vertu d’une autorité ou par une personne publique ; ou si les opérations et traitements sont faits à grande échelle ; ou si les données traitées sont considérées comme «sensibles » ou font l’objet de transfert en dehors de l’Union Européenne (y compris au sein du même groupe de sociétés).

Par conséquent, si vous êtes une entreprise nationale qui ne collecte que des emails et des numéros de téléphones de clients et prospects sans autre particularité et sans données sensibles, à petite ou moyenne échelle, vous n’êtes pas concerné par l’obligation de désignation d’un DPO.

Mais même si vous n’avez pas besoin d’un DPO en interne, il peut être tout de même nécessaire, pour respecter le RGPD, de désigner un pilote pour la gestion des données personnelles de votre entreprise et montrer aux organismes régulateurs que les démarches sont effectuées pour respecter les points du règlement.

A défaut, c’est le chef d’entreprise qui en assume les responsabilités.

Les bons réflexes :

1. Ne collectez que les données vraiment nécessaires pour atteindre votre objectif
2. Soyez transparent
3. Organisez et facilitez l’exercice des droits des personnes
4. Fixez les durées de conservation
5. Sécurisez les données et identifiez les risques
6. Inscrivez la mise en conformité dans une démarche continue

Toutes les informations, les outils et les conseils peuvent être retrouvées sur le site de la CNIL.