Le GDPR ou en français, Règlement Général sur la Protection des Données (RGPD) souffle sa première bougie… ou presque. Un peu d’histoire, saviez-vous que le déploiement du RGPD dans l’espace européen s’était fait en deux temps ? Le 14 avril 2016, le Parlement a validé l’adoption définitive du texte, suivi quelques jours plus tard, le 27, de sa promulgation au Journal officiel. Néanmoins, son application a été décalée de deux ans, au 25 mai 2018.[vc_row][vc_column][vc_column_text]Pourquoi ce laps de temps nous direz-vous ? Et bien cela représente le temps de préparation nécessaire aux législations nationales et aux entités procédant à la collecte et au traitement des données personnelles. Alors en une année, il est assez aisé d’imaginer que beaucoup d’entreprises ne se sont pas encore mises en conformité. Théoriquement, depuis le 25 mai 2018, tout traitement en infraction avec le GDPR peut déboucher sur des sanctions même si jusque-là la CNIL fut indulgente. Alors le GDPR, 1 an après ça donne quoi et que faut-il faire pour se mettre en conformité ?[/vc_column_text][/vc_column][/vc_row][vc_row][vc_column][mk_padding_divider size=”20″][mk_fancy_title font_family=”none”]Le RGPD, ça a changé quoi ?[/mk_fancy_title][vc_column_text]Souvent le RGPD est associé aux données collectées lors d’actions commerciales et à la confidentialité de ces dernières. En effet, cela s’est traduit par des mises à jour de politique de confidentialité, notamment sur les sites internet où l’on a vu proliférer des encarts d’avertissement avant d’accéder au contenu du site. Les entreprises ont dû revoir toutes leurs procédures concernant les informations qu’elles collectent sur leurs clients/ prospects dans le cadre de leur activité.

C’est d’ailleurs dans ce cadre qu’aujourd’hui, les entreprises offrent le choix des informations auxquelles leurs clients/ prospects peuvent s’abonner ‘volontairement’. Par exemple, pour confirmer une commande il faut valider les conditions générales et associé à cette étape obligatoire, les professionnels du webmarketing proposent dorénavant de choisir entre s’abonner à leur Newsletter et/ou à celle de leurs partenaires, ou tout autre contenu afin de fidéliser leur communauté dans le temps. Cela permet donc à vos visiteurs de décider quels types d’information ils souhaitent, ou non, recevoir alors qu’auparavant cela n’était pas forcément très clair.

Mais saviez-vous que le GDPR c’est aussi la protection des données des collaborateurs de l’entreprise ? Par exemple, en tant qu’entreprise vous avez accès à des données très personnelles telles que la rémunération et les déclarations sociales obligatoires ; la gestion administrative du personnel (exemple : type de permis de conduire détenu ou coordonnées de personnes à prévenir en cas d’urgence) ; l’organisation du travail (exemple : photographie facultative de l’employé pour les annuaires internes et organigrammes) ; …

Que ce soit pour des fins commerciales ou pour les dossiers de vos collaborateurs, le RGPD a pour objectif de valider la sécurité et la confidentialité des données. Toutes ces informations doivent être répertoriées et en tant qu’entreprise vous devez pouvoir justifier de leur utilité. Par exemple, dans le cadre de votre activité est-il nécessaire que vous connaissiez leurs opinions politiques, religions, origines ethniques… Si oui, dans ce cas-là nous parlerons de données sensibles et si vous devez en traiter, des obligations particulières sont applicables.[/vc_column_text][mk_padding_divider size=”20″][mk_blockquote font_family=”none” font_size_combat=”true” text_size=”22″]« Le GDPR renforce l’obligation d’information et de transparence à l’égard des personnes dont vous traitez les données (clients, collaborateurs, etc.), source CNIL » [/mk_blockquote][vc_single_image image=”23785″ img_size=”full” add_caption=”yes” alignment=”center”][/vc_column][/vc_row][vc_row][vc_column][mk_padding_divider size=”20″][mk_fancy_title font_family=”none”]RGPD : La réalité un an après[/mk_fancy_title][vc_column_text]Maître Anne-Sophie POGGI, Avocate à la Cour spécialisée en droit de la donnée a réalisé une interview pour le magazine en ligne IT Social et explique que « Les entreprises françaises se sont mises en ordre de marche très tardivement. On a beaucoup communiqué sur l’entrée en application du 25 mai 2018, mais personne n’a entamé de processus dès l’adoption de ce règlement en avril 2016 comme ce fut le cas en Allemagne.

Nous restons en France dans une logique de « pas vu, pas pris » et on attend de voir comment la CNIL va réagir. La moitié des entreprises a entamé un processus de mise en conformité. »

Ce constat s’associe inévitablement à la sanction qualifiée de « record » qu’a subi Google en Janvier 2019 de la part de la CNIL Française : une amende de 50 Millions d’Euros.

Pourquoi une telle amende ? La CNIL estime que le géant américain du Web n’informe pas assez les internautes sur le traitement de leurs données et qu’il ne dispose pas d’une base juridique valable pour traiter les données personnelles des utilisateurs de ses services, notamment à des fins de publicités ciblées.

C’est pourquoi Google propose désormais une nouvelle option à ses utilisateurs leur permettant de donner une date d’expiration à leurs données personnelles qui seront automatiquement supprimer.

Le 15 avril dernier, la nouvelle présidente de la Commission Nationale de l’Informatique et des Libertés (CNIL), Marie-Laure Denis, a annoncé que « la CNIL sera plus ferme envers les entreprises ». Elle estime que la Cnil s’est montrée très “patiente”, et que dorénavant l’institution compte renforcer ses contrôles et ses sanctions pour pousser les entreprises et les organisations à accélérer leur mise en conformité. Sinon, les amendes pourraient pleuvoir…[/vc_column_text][mk_padding_divider size=”20″][/vc_column][/vc_row][vc_row column_padding=”3″ css=”.vc_custom_1554364428286{padding-top: 20px !important;padding-right: 0px !important;padding-left: 0px !important;}”][vc_column width=”1/2″][mk_fancy_title font_family=”none”]Quels sont les axes prioritaires de contrôle pour 2019 ?[/mk_fancy_title][vc_column_text]Marie-Laure Denis précise que « Le premier axe est le respect de tous les droits des individus comme le droit de rectification, d’opposition, d’oubli, le déréférencement, etc.

Le deuxième est le contrôle des sous-traitants, tous secteurs confondus, qui doivent aussi être conformes, même s’ils n’ont pas affaire au consommateur final, en travaillant notamment avec les têtes de réseau dans chaque secteur.

Le troisième axe est la protection des droits des mineurs sur Internet, sur les réseaux sociaux, notamment.

Enfin, je souhaite que la CNIL exploite davantage les plaintes des concitoyens pour y répondre au plus vite, tout en sachant que 20% des plaintes reçues font l’objet d’une coopération européenne. »[/vc_column_text][mk_padding_divider size=”20″][/vc_column][vc_column width=”1/2″][mk_custom_box padding_horizental=”30″][mk_custom_list title=”Quelques Chiffres”]

[/mk_custom_list][/mk_custom_box][/vc_column][/vc_row][vc_row column_padding=”3″ css=”.vc_custom_1550237492724{padding-right: 0px !important;padding-left: 0px !important;}”][vc_column][mk_padding_divider size=”20″][mk_fancy_title font_family=”none”]RGPD & Entreprise : Comment se mettre en conformité en 3 étapes[/mk_fancy_title][vc_column_text]Quel que soit la taille de votre organisation, votre entreprise est concernée par le RGPD car il y a des traitements de données partout. Il recommandé de nommer un Délégué à la Protection des Données (DPO) mais toutes les entreprises ne sont pas obligées d’en avoir un.

Seules les entreprises publiques et celles qui traitent des données à grande échelle ou des données “sensibles” sont concernées.

Outre ces aspects, nous vous proposons 3 actions vous permettant de vous mettre en conformité GDPR[/vc_column_text][mk_fancy_title tag_name=”h3″ color=”#9e0657″ size=”18″ font_weight=”bold” font_family=”none”]1. Constituez un registre de traitement des données et faites le tri[/mk_fancy_title][vc_column_text]Ce registre est placé sous la responsabilité du dirigeant de l’entreprise. Pour avoir un registre exhaustif et à jour, il faut en discuter et être en contact avec toutes les personnes de l’entreprise susceptibles de traiter des données personnelles.

La constitution du registre vous permettra de vous interroger sur les données dont votre entreprise a réellement besoin. Pour chacune des fiches de registre créées, il faudra vérifier que : [/vc_column_text][mk_custom_list]

[/mk_custom_list][vc_column_text]Ce sera l’occasion d’améliorer vos pratiques et de faire le tri sur les données collectées, en éliminant de vos bases de données toutes les informations inutiles. Enfin, il est recommandé aux entreprises d’automatiser le plus possible toutes les règles liées à l’effacement ou à l’archivage des données sur une durée précise.[/vc_column_text][mk_padding_divider size=”20″][/vc_column][/vc_row][vc_row column_padding=”3″ css=”.vc_custom_1550237492724{padding-right: 0px !important;padding-left: 0px !important;}”][vc_column][mk_padding_divider size=”20″][mk_fancy_title tag_name=”h3″ color=”#9e0657″ size=”18″ font_weight=”bold” font_family=”none”]2. Respectez les droits des personnes et simplifiez l’exercice de leurs droits[/mk_fancy_title][vc_column_text]Le RGPD a pour objectif d’informer les personnes sur les données collectées et leur utilisation. Les entreprises ont donc un devoir de transparence[/vc_column_text][mk_custom_list]

[/mk_custom_list][vc_column_text]LA CNIL accompagne les entreprises en proposant des exemples de mentions.

Les personnes dont vous traitez les données (clients, collaborateurs, prestataires, etc.) ont des droits sur leurs données, qui sont renforcés par le RGPD : droit d’accès, de rectification, d’opposition, d’effacement, à la portabilité et à la limitation du traitement.

En tant qu’entreprise, vous devez leur donner les moyens d’exercer leurs droits. Si vous disposez d’un site web, prévoyez un formulaire de contact spécifique, un numéro de téléphone ou une adresse de messagerie dédiée.

Selon le RGPD, vous devez également effectuer le traitement des demandes dans des délais courts (1 mois au maximum).[/vc_column_text][/vc_column][/vc_row][vc_row column_padding=”3″ css=”.vc_custom_1550237492724{padding-right: 0px !important;padding-left: 0px !important;}”][vc_column][mk_padding_divider size=”20″][mk_fancy_title tag_name=”h3″ color=”#9e0657″ size=”18″ font_weight=”bold” font_family=”none”]3. Sécurisez les données et assurez leur confidentialité[/mk_fancy_title][vc_column_text]Si le risque zéro n’existe pas en informatique, il faut prendre les mesures nécessaires pour garantir au mieux la sécurité des données. En tant qu’entreprise vous avez l’obligation légale d’assurer la sécurité des données personnelles que vous détenez, que ce soit sur vos collaborateurs ou sur vos clients.

Vous garantissez ainsi l’intégrité de vos données en minimisant les risques de perte de données ou de piratage.

Des procédures doivent être mises en place comme les mises à jour de vos antivirus et logiciels, changement régulier des mots de passe et utilisation de mots de passe complexes, ou chiffrement de vos données dans certaines situations. En cas de perte ou vol d’un outil informatique, il sera plus difficile pour un tiers d’y accéder.[/vc_column_text][/vc_column][/vc_row][vc_row attached=”true” column_padding=”4″ css=”.vc_custom_1558440880497{background-color: #f7f7f7 !important;}”][vc_column width=”1/2″ css=”.vc_custom_1558440658813{background-color: #f7f7f7 !important;}”][vc_custom_heading text=”ASTUCE” font_container=”tag:p|font_size:26px|text_align:left” use_theme_fonts=”yes”][vc_column_text]Demandez à votre responsable informatique ou votre prestataire combien de fois vos utilisateurs activent la fonctionnalité « oubli de mot passe » chaque année. Si ce taux est faible voire nul, c’est que votre politique de gestion des mots de passe n’est pas assez exigeante ![/vc_column_text][/vc_column][vc_column width=”1/2″][vc_single_image image=”8237″ img_size=”medium” alignment=”center”][/vc_column][/vc_row][vc_row column_padding=”3″ css=”.vc_custom_1554364428286{padding-top: 20px !important;padding-right: 0px !important;padding-left: 0px !important;}”][vc_column][mk_fancy_title font_family=”none”]Et après le RGPD préparez-vous à la DSP2[/mk_fancy_title][vc_column_text]La Directive européenne sur les Services de Paiement (DSP) qui vise à encadrer le marché des paiements va être généralisée en septembre 2019 et elle concernera les entreprises proposant notamment du paiement en ligne. Ainsi, les entreprises concernées devront mettre en place des systèmes d’authentification plus poussés pour tout paiement supérieur à 30€. L’objectif étant bien évidemment de protéger le consommateur, de sécuriser et de réduire les fraudes dans le domaine de l’E-commerce.

Pour cela, l’internaute devra renseigner obligatoire au minimum 2 indicateurs permettant de l’identifier : Mot de passe, SMS sur le mobile, donnée biométrique… Si cette obligation n’est pas respectée, les paiements seront refusés automatiquement par les banques.

Les lois sur la protection des données n’ont pas fini de faire parler d’elles ! En France, la CNIL est très active dans l’accompagnement des entreprises et vous propose plusieurs outils pour la mise en conformité de votre structure.[/vc_column_text][mk_padding_divider size=”20″][/vc_column][/vc_row][vc_row attached=”true” column_padding=”4″ css=”.vc_custom_1558440880497{background-color: #f7f7f7 !important;}”][vc_column css=”.vc_custom_1558440658813{background-color: #f7f7f7 !important;}”][vc_custom_heading text=”POUR ALLER PLUS LOIN” font_container=”tag:p|font_size:26px|text_align:left” use_theme_fonts=”yes”][vc_column_text]Guide des bonnes pratiques de l’informatique réalisé par l’ANSSI et la CPME sur le site internet : www.cybermalveillance.gouv.fr

Guide sécurité des données personnelles de la CNIL. Pour en savoir plus : https://www.cnil.fr/fr/rgpd-par-ou-commencer[/vc_column_text][/vc_column][/vc_row]