Le règlement général sur la protection des données (RGPD) entre en vigueur ce 25 mai. Son but ? Renforcer la protection des « données personnelle ». En tant qu’entreprise, devez-vous en avoir peur ? Décryptage
LE RGPD, c’est quoi ?
Le Règlement Général sur la Protection des Données est un règlement européen, c’est-à-dire qu’il s’applique partout de la même manière dans l’Union européenne. Il vise à mieux protéger les données personnelles des citoyens européens ou de toute personne circulant sur le territoire européen. Il concerne toutes les entreprises et organisations (y compris les ASBL, les communes, les hôpitaux, les pouvoirs organisateurs de l’enseignement…). Vous êtes donc aussi visé, quelle que soit la taille de votre entreprise.
Qui est protégé par le RGPD ?
Toute « personne concernée », c’est-à-dire une personne physique identifiée ou identifiable par les données traitées. Ainsi, dès que vous stockez l’adresse mail de votre client sur votre ordinateur, cette adresse devient une « donnée personnelle » et votre client devient une « personne concernée ».
Qui doit respecter le RGPD ?
Le RGPD identifie deux catégories de responsables.
- D’une part, le « responsable de traitement » ou « data controller », qui est la personne qui décide de quelle manière sont traitées les données, et en assure la bonne gestion. En clair: vous.
- D’autre part, le « sous-traitant », ou « data processor ». C’est celui qui gère les données selon les instructions du responsable de traitement: la société qui vous propose un CRM, en ligne, un service de cloud computing où vous stockez votre carnet d’adresses, un logiciel d’e-mail marketing en ligne…
Attention: En tant que responsable de traitement, vous vous exposez à une amende pouvant aller jusqu’à 2 % de votre chiffre d’affaires si vous – ou votre sous-traitant – ne respectez pas le RGPD.
Quels sont les droits des personnes concernées ?
Toute personne concernée peut demander à consulter et télécharger les données que vous stockez, et exiger leur modification si elles contiennent une erreur. Elle peut aussi exiger leur suppression.
Quels sont les devoirs des responsables de traitement et des sous-traitants ?
Pour collecter et traiter des données personnelles, vous devez obtenir l’accord « explicite » et « spécifique » des personnes concernées.
Explicite: l’utilisateur doit donner lui-même son autorisation. Plus question de proposer une clause du type « sauf opposition de votre part » ni de pré-cocher une case d’acceptation dans un formulaire !
Spécifique: chaque traitement doit faire l’objet d’un consentement. Ainsi, un prospect peut accepter que vous utilisiez ses données pour lui envoyer une liste de prix, mais refuser que vous lui envoyiez ensuite des e-mails publicitaires.
Il existe principalement deux exceptions: lorsque les données personnelles sont indispensables à l’exécution d’un contrat, par exemple pour établir une facture; et lorsque vous avez un intérêt légitime comme pour faire de la prospection, à condition d’en informer la personne au premier contact ainsi qu’à son droit de s’y opposer.
Quelles sont vos autres obligations ?
Vous êtes obligé de tenir un registre de traitement des données, où vous expliquez par le menu pourquoi vous collectez des données, ce que vous en faites et combien de temps vous les gardez.
Par ailleurs, vous devez :
- Sécuriser l’accès aux données;
- être capable de les récupérer après une panne;
- déclarer les fuites et vols de données aux personnes concernées et aux autorités dans les 72 h de leur constatation.
Où trouver plus d’informations ?
Tout cela vous semble compliqué? Pas de panique: la Commission pour la vie privée, qui contrôle l’application du RGPD en Belgique, a mis en ligne un guide pratique du RGPD pour les entreprises. Vous y trouverez toutes les informations nécessaires ainsi que des documents modèles.