RGPD : quels sont les organismes concernés et les règles à adopter pour être en conformité ?
Connaître mes droits
Le RGPD, c’est-à-dire le règlement général sur la protection des données est entré en vigueur le 25 mai 2018. Ce texte européen encadre le traitement des données personnelles, dans le but de protéger la vie privée des citoyens. Quels sont les professionnels concernés ? Comment être en conformité avec le RGPD ?
Par Sandra Grès | Publié le 07/01/21 à 14h21
À qui s’adresse le RGPD ?
La CNIL (Commission nationale de l’informatique et des libertés) décrit une donnée personnelle selon ces termes : « toute information se rapportant à une personne physique identifiée ou identifiable ». Une personne est identifiée par son nom (ou son adresse électronique contenant son nom) et identifiable par une adresse postale, une photo, un numéro de téléphone, sa voix… (identification indirecte).
Le traitement de ces données personnelles peut être n’importe quelle opération portant directement sur ces données : tenue d’un fichier clients (ou d’un fichier de fournisseurs, salariés…), collecte de coordonnées de prospects via un questionnaire… Un fichier qui ne comporte que des coordonnées d’entreprise (nom de la société, adresse postale, numéro de téléphone du standard et adresse électronique générique sociétéX@email.fr) n’est par contre, par définition, pas un traitement de données personnelles.
Le RGPD encadre le traitement des données personnelles. Ce texte s’adresse donc à toute structure publique ou privée qui collecte et/ou utilise ces données. Tous les organismes établis sur le territoire de l’Union européenne sont concernés, mais aussi hors de l’UE si leur activité cible directement des résidents européens.
Quels sont les bons réflexes à adopter pour être en conformité avec le RGPD ?
Pour être en conformité avec le RGPD, cinq actions sont essentielles :
- Constituer un registre de traitement des données, en mentionnant notamment la destination des données, les personnes qui y accèdent et à qui elles sont communiquées ;
- Être transparent, c’est-à-dire informer clairement les individus de l’utilisation qui sera faite de leurs données personnelles dès la collecte, de leurs droits et des modalités d’exercice de ces droits ;
- Faire le tri dans ces données, et ne conserver que celles vraiment nécessaires (dans un but déterminé et légitime et sur un temps de conservation défini) ;
- Sécuriser l’ensemble de ces données (fichiers papiers concernés autant que les fichiers informatiques), avec des mesures adaptées en fonction du caractère plus ou moins sensible de ces données ;
- Respecter le droit des personnes en matière de consultation, rectification ou suppression de leurs données personnelles.
Pour veiller à ce dernier point, il est important que l’utilisation des données collectées fasse l’objet d’un suivi permettant de répondre aux demandes des individus, concernant leurs données personnelles, dans les meilleurs délais.
Les conditions générales de vente (CGV) à destination des particuliers ont vocation à établir les obligations et responsabilités de chaque partie dans le cadre d’un contrat. Le RGPD impose d’y inclure une clause spécifique sur les données personnelles mentionnant notamment leur existence et la notion de consentement donné par le consommateur. Différents points doivent apparaître systématiquement : les coordonnées du responsable du traitement des données personnelles, la durée de conservation des données, l’objet de la collecte et les destinataires des données personnelles, les droits de la personne sur ses données personnelles, la sécurité des données personnelles, les modalités de réclamation auprès de la CNIL.
Orient’Action® vous accompagne durant les différentes phases de votre projet de création d’entreprise, y compris sur les questions juridiques.
