CNIL 2018, conformité RGPD : nouvelle réglementation européenne sur la protection des données personnelles

Vous êtes une PME, TPE ou même commerçant, votre business est sur le territoire Européen et utilise des données personnelles. Cet article va vous expliquer ce qui change et ce qu’il faut savoir en matière de protection des données personnelles depuis le 25 mai 2018 (cf site de la CNIL).

Le terme « données personnelles » signifie toute information se rapportant à une personne physique qui est identifiée où que l’on peut identifier : nom, prénom,  adresse mail, identifiant en ligne, adresse IP, etc…

Posséder un site web pour faire connaître son entreprise est devenu indispensable. Un site web doit respecter certaines règles dès qu’il touche un public cible. En effet, la page “Mentions légales” doit apparaître facilement pour toutes les personnes visitant votre site web, mais aussi toutes les mises en garde au regard de la loi informatique et libertés.

Depuis le 25 mai 2018, la CNIL vous met en garde, votre site web devra également mentionner la responsabilité et la transparence des données de vos clients, collaborateurs. Si ce n’est pas déjà fait, vos propres données personnelles pour une meilleure protection de celles-ci. RGPD : Règlement Général sur la Protection des Données

Il devra être dit explicitement que les données fournies pourront être réutilisées pour d’autres collaborateurs de votre entreprise (par exemple). Sinon, l’utilisateur doit pouvoir avoir le choix de ne pas divulguer ses informations ou pouvoir facilement s’opposer à l’utilisation de celles-ci lorsqu’il reçoit des informations non demandées (inscription à une newsletter sans consentement).

La conformité du site web devra passer par ces nouveaux outils :

• Inventorier les traitements de données personnelles mis en œuvre
• Notifier les failles de sécurité (aux autorités et personnes concernées)
• Certifier les traitements selon les risques associés aux opérations en prenant des mesures adéquates
• Adhérer à des codes de conduites et s’y tenir

Une personne de votre entreprise devra être désignée pour être le DPO, Data Protection Officer, (délégué à la protection des données) et effectuer des études d’impact sur la vie privée. Il devra mener à bien la responsabilisation des acteurs de l’entreprise tout en les mobilisant afin de changer la culture interne de la société pour que la protection des données personnelles devienne automatique grâce aux autres personnes liées à cette responsabilisation : DSI (directeur des systèmes d’informations), prestataires, services juridiques…).

Lorsque vous aurez désigné cette personne, elle devra faire un listing de toutes les données personnelles que vous avez et savoir à quoi elles servent (emailing, newsletter, recrutement, collaborateurs,…). Sur cette liste, il devra être notifié le lieu où les données sont hébergées, la date durant laquelle vous les conservez ainsi que les mesures de sécurité prises pour chaque catégorie de données. En effet, chaque donnée n’a pas la “même valeur” commerciale. Il faut retrouver en priorité les données personnelles dites “à risque” pour votre entreprise et leur assigner des mesures de protection adaptées. Pour chaque entreprise les données personnelles seront différentes et auront des valeurs à degrés diverses pour son propre business et celui de ses sous-traitants (s’ils existent).