05. Protéger ses données

40%

des entreprises ne respectent pas les obligations légales sur la protection des données (Source : lesoir.br)

2 ans

C’est l’âge de la loi RGPD entrée en vigueur en Mai 2018.

Les données des internautes sont l’une des ressources les plus précieuses de notre époque. À ce titre elles ont souvent été utilisées, échangées, vendues ou même louées, sans l’accord des utilisateurs concernés.

Face à ces abus, l’Union Européenne a instauré en mai 2018 une nouvelle réglementation baptisée RGPD, pour Règlement Général sur la Protection des Données.
Cette loi régie l’utilisation faite des données des internautes pour toutes les entreprises qui en font la récolte et/ou l’usage.

Les entreprises doivent désormais en cas de récolte de données :

• Se restreindre à ne récolter que les données nécessaires à leur activité
• Respecter une durée limitée à leur utilisation et les supprimer une fois le délai dépassé
• Avec un principe de finalité clair qui explicite au consommateur l’usage fait des données récoltées
• Être en mesure de prouver le consentement libre et éclairé de l’utilisateur quant à la transmission de ses données

Une fois ce cadre posé, il est interdit d’y déroger sous peine de se voir infliger de lourdes amendes calculées selon un pourcentage du chiffre d’affaires de l’entreprise.

Le RGPD impose des conditions strictes à l’utilisation des données des utilisateurs. Par exemple :

• Le consentement de l’internaute à utiliser ses informations doit être clairement donné
• La transparence de ce que vont faire les entreprises des données collectées.
• Le droit d’accès et de rectification des données : l’utilisateur peut demander l’accès aux informations possédées par l’entreprise, et demander à faire des modifications ou les supprimer totalement
• La responsabilité des entreprises, au quel cas des amendes seront dressées en cas de non respect.

Pour une activité commerciale, l’article 6 du RGPD rend licite le traitement des données pour :

• L’exécution d’un contrat (le traitement du nom et adresse d’un client pour les livraisons par exemple)
• Le respect d’une obligation légale (facturation par exemple)
• Le consentement (si une personne accepte en cochant une case sur votre formulaire par exemple)

Lorsque vous exercez une activité en B2B, la réglementation du RGPD est plus souple. En effet, la loi estime que vous pouvez récolter des données et envoyer des communications en B2B dans les conditions suivantes :

• Si l’adresse email est une adresse professionnelle : nomdelentreprise@mail.com ou nomducontact@entreprise.com
• Si les communications envoyées sont pertinentes pour l’activité du contact
• Si les communications s’arrêtent lorsque l’utilisateur demande à être désabonné (droit d’opposition)
• Si les communications sont à vocation commerciale ou fidélisation

Vous devez par ailleurs rester très vigilants si vous traitez notamment des données de santé et/ou de données bancaires. Ces informations sont considérées comme particulièrement sensibles et nécessitent une approche spécifique.

Le DPO, pour Data Protection Officer, est une personne interne ou externe à l’entreprise qui est en charge de la protection des données. Bien que sa nomination puisse être non officielle, il est primordial de définir la personne qui en assumera le rôle en cas de contrôle du respect de la réglementation RGPD. En fonction de la taille de votre entreprise, et des données que vous traitez, ce poste peut n’être qu’une mission remplie par la personne en charge de l’informatique, du marketing ou du juridique dans votre organisation.

Le DPO a plusieurs missions :

• Informer et sensibiliser les différentes parties prenantes de l’entreprise sur la nécessité de respecter le RGPD
• Veiller au respect de la réglementation
• Concevoir une documentation précise sur l’utilisation faite des données personnelles
• Présenter un rapport annuel
• Interagir avec l’autorité de contrôle si nécessaire