0805 081 722
Testez gratuitement
RGPD : quels impacts pour votre business ?

RGPD : quels impacts pour votre business ?

  • Auto-entrepreneurs
  • Professions libérales

Ces derniers mois, on parle abondamment du fameux RGPD (ou GDPR en anglais), le Règlement Général sur la Protection des Données entré en vigueur le 25 mai 2018. Cette législation a été mise en place par l’Union Européenne pour améliorer la protection des données personnelles de tous ses citoyens. Elle impose donc diverses exigences aux entreprises collectant ce type d’informations. Mais qu’en est-il de votre propre activité ? Quels seront les impacts sur votre business ?

RGPD : qui est concerné ?

En pratique, toutes les organisations (entreprises privées, administrations, associations…) qui traitent des données personnelles sont concernées. Il s’agit d’informations qui permettent d’identifier une personne : nom et prénom(s), date de naissance, numéro de sécurité sociale, adresse du domicile ou encore adresse IP.

Cela signifie que si vous collectez au moins une information personnelle (sur vos clients, vos prospects, vos adhérents, etc.), vous êtes soumis à la RGPD. De même, vos sous-traitants doivent également remplir les critères du règlement. Et les entités étrangères qui traitent des données personnelles intra-communautaires y sont aussi soumises. En revanche, les particuliers ne sont pas concernés par cette législation.

Le consentement explicite de la personne

Le premier gros changement est le principe de consentement. Lorsque vous collectez, stockez et utilisez les données personnelles, vous devez obtenir l’accord de leur propriétaire. Vous devez donc lui dire précisément dans quel but vous les collectez et pour quelle finalité. Bien sûr, vous devez être capable de fournir la preuve de ce consentement.

Par exemple, si vous recevez un appel téléphonique et notez les coordonnées de votre appelant, il faut lui préciser pour quelle raison vous en avez besoin et lui demander l’autorisation de les conserver. Pour répondre à ces exigences, demandez bien à vos secrétaires d’obtenir ce consentement lorsqu’elles discutent avec un appelant. Et si vous utilisez les services de télésecrétariat de bureau24, il vous suffit de préciser cette instruction à votre secrétaire à distance.

La traçabilité des informations recueillies

Deuxièmement, le RGPD vous impose un principe de traçabilité des données. En cas d’audit, on vous demandera de justifier la source de chaque donnée recueillie, son utilisation (effective et prévue), le consentement de son propriétaire, etc. Le mieux est donc d’alimenter correctement votre registre et de tenir à jour vos bases de données.

Le principe de portabilité des données

Un troisième élément clé est la portabilité des données personnelles. L’idée est que chaque citoyen européen garde le contrôle de ses données. Pour offrir plus de visibilité aux intéressés, votre entreprise doit leur donner accès aux données qui les concernent.

À tout moment, une personne peut alors consulter les données que vous possédez à son sujet, les télécharger et connaître leurs finalités. Cela dans le respect d’un délai fixé par la RGPD.

Le stockage sécurisé des informations

Évidemment, le stockage des données doit être parfaitement sécurisé et l’accès strictement limité aux personnes habilitées. Et en cas de fuite, le propriétaire doit être informé immédiatement, de même que la CNIL sous 72 heures.

Lorsque des données sont transférées hors de l’UE, les normes de sécurité devront être vérifiées et conformes à celles du RGPD. Dans le cas contraire, une clause spécifique sera ajoutée au contrat et les personnes concernées seront averties.

Le droit à l’effacement des données personnelles

Pour finir, le propriétaire des données personnelles bénéficie aussi d’un droit à l’effacement. À tout moment, il peut faire une demande de retrait, si certaines informations peuvent lui nuire. Vous devez alors les supprimer définitivement (droit à l’oubli).

Une autre option est la demande de déréférencement, qui vise à désindexer les données personnelles des moteurs de recherche.

Dans les deux cas, 6 critères doivent être remplis (conservation non justifiée, consentement caduque, utilisation illégale des données…). Vous en trouverez le détail sur ce site.

Pour appliquer au mieux les règles du RGDP, le mieux est de nommer un délégué à la protection des données. Obligatoire dans certaines organisations privées, ce rôle peut même être avantageux dans la plupart beaucoup d’autres structures.