Démystifier le RGPD

Ce que vous devez savoir sur le RGPD et les mentions légales

Le RGPD fait beaucoup parler de lui. Rien de plus normal, puisqu’il vient bouleverser les règles du jeu pour beaucoup d’entreprises. Des entreprises qui tentent tant bien que mal de préparer son arrivée prévue pour le 25 mai 2018, car le RGPD promet de sanctionner toute entreprise ne respectant pas ses devoirs quant aux droits et données personnelles de ses clients.

Parmi les changements introduits par le RGPD, on peut compter la rédaction des mentions légales. En effet, il implique d’ajouter plusieurs lignes à ses mentions légales. Si la rédaction de ces mentions était déjà un casse-tête pour beaucoup, on peut se demander si cela ne va pas devenir un véritable calvaire.

Peut-on encore utiliser des générateurs de mentions légales pour gagner du temps tout en étant conforme à la loi ?

On vous explique tout ce que vous devez savoir sur le RGPD et on vous donne des réponses quant aux différents changements à prendre en compte pour la rédaction de vos mentions légales. Tout cela, dans cet article !

Bonne lecture !

 

Qu’est ce que le RGPD ?

RGPD signifie Réglement Général sur la Protection des Données (à caractère personnel). C’est donc un règlement qui vise à protéger les données personnelles.

Il a été voté afin de prendre la relève sur la directive de 1995 concernant les traitements de données pour pouvoir harmoniser les différentes législations des états de l’Union Européenne. Car en effet, contrairement à une directive, un règlement s’applique totalement et directement. Ainsi, l’entrée en vigueur du RGPD garantira une harmonisation législative totale en ce qui concerne la protection et les traitements de données personnelles.

 

Qu’est-ce qui change avec le RGPD ?

Le RGPD vient en fait renforcer l’encadrement que devait fournir la directive de 1995, c’est pourquoi il reprend de nombreux droits déjà existants, en modifie d’autres et en rajoute.

Ainsi, parmi les nouveaux droits des personnes physiques, comptons :

  • Le droit à la limitation du traitement : contraindre une entreprise à stocker ses données sans les utiliser.
  • Le droit à la portabilité : récupérer toutes ses données auprès de n’importe quel organisme pour les réutiliser à son gré.
  • Le droit à l’oubli : obtenir l’effacement de toutes ses données auprès d’un organisme.

Sachez tout de même que certaines exceptions s’appliquent, notamment lorsqu’il s’agit de traitement nécessaire à l’exécution de missions du service public ou répondant à des objectifs d’archivage scientifique, ou historique.

N’oublions pas les anciens droits :

  • Le droit à l’information : être informé dès lors qu’il y a collecte de données même si celles-ci ont été obtenues auprès d’une tierce personne.
  • Le droit d’accès : obtenir une confirmation quant à l’état de ses données et une copie de celles-ci.
  • Le droit de rectification : demander à compléter ou à rectifier ses données.
  • Le droit d’opposition : refuser un traitement de données à caractère personnel ou s’opposer à l’utilisation marketing de ses données.
  • Le droit à la communication d’une violation : être informé de la violation de ses données.

Aussi, en théorie il devrait être assez aisé pour les entreprises de respecter le RGPD, à partir du moment où elles suivaient déjà la directive de 1995.

Malheureusement, fort de constater que beaucoup d’entreprises ne suivaient pas cette directive. Il leur sera donc plus compliqué que prévu de se mettre en conformité avec le RGPD.

 

Mais de quelles données parle-t-on ?

Mais qu’entend-on par données personnelles ? Toute données permettant l’identification directe ou indirecte d’un individu est considérée comme étant une donnée à caractère personnel. Ainsi, une plaque d’immatriculation de véhicule est une donnée personnelle, bien que celle-ci ne permette pas de faire le lien direct avec un individu, elle permet de remonter jusqu’à un véhicule puis jusqu’à son propriétaire.

Sachez qu’il existe deux catégories de données personnelles : les données sensibles et les données non-sensibles.

Par données sensibles on entend toute donnée se rapportant à l’orientation sexuelle, l’opinion politique, religieuse, à la santé, aux domaines du juridiques et du pénal.

Par donnée non-sensible, on parlera d’informations comme le nom, prénom, la date de naissance, le sexe, etc…

 

Êtes-vous concerné ?

Vous vous demandez maintenant si vous êtes concerné, et vous avez bien raison !

Le RGPD concerne grand nombre d’entre nous, il y a donc de grandes chances que vous soyez concerné.

En effet, le RGPD concerne toutes les entreprises, qu’importe leur taille et leur secteur d’activité, dès lors qu’elles traitent de données à caractère personnel de citoyens européens. Ce, même si elles ne sont pas domiciliées au sein de l’UE et même si  les données sont destinées à être transférées hors UE.

Si vous êtes concerné, alors gardez à l’esprit que le RGPD entre en vigueur le 25 mai 2018, et que, par conséquent, il vous faut tout mettre en conformité avant cette date butoir.

 

Les 5 principes énoncés par le guide de la CNIL

Pour garantir votre conformité, il est nécessaire de prendre connaissance du guide diffusé par la CNIL. Ce guide constitué de principes vous indiquera comment vous mettre en conformité. Aussi, nous vous conseillons d’en prendre connaissance par vous même sur le site de la CNIL.

En attendant que vous vous rendiez sur le site de la CNIL, on vous fait un petit récapitulatif des principes à connaître !

Premier principe : Nommer un(e) DPO

Avant tout, sachez qu’il s’agit là d’une recommandation et non d’une obligation.

Le ou la DPO (Data Protection Officer) devra être nommée afin qu’il/elle s’assure de la conformité de l’entreprise pour laquelle il/elle travaille. Cette personne encadrera donc tous les traitements de données dès leur conception et sera l’interlocutrice privilégiée de la CNIL, en cas de contrôle.

Second principe : Tenir un registre du traitement des données

Il est obligatoire de recenser toutes les données traitées. Elles doivent être catégorisées selon le type de traitements, la catégorie des données, le but et la finalité des traitements, l’origine et la destination de ces données et pour finir, les différents acteurs concernés par chaque traitement.

Assurez-vous que vos sous-traitants aussi ont eux-aussi dressé un registre de traitement de données.

Troisième principe : Faire une analyse d’impact

L’analyse d’impact, appelée aussi PIA, permet d’encadrer et d’anticiper tous les risques que présente un traitement. Ainsi, dans une analyse, il faudra retrouver :

  • une description du traitement et de ses finalités.
  • une justification des moyens mis en place pour effectuer le traitement
  • une évaluation des risques de violation des droits et libertés des individus concernés par les données traitées
  • toutes les actions mises en place dans le but d’anticiper et d’éviter ces risques.

Il faudra faire plusieurs analyses d’impact et les mettre à jour régulièrement. Ce sera au responsable de traitement, aux sous-traitants ainsi qu’au DPO de s’en charger.

Quatrième principe : favoriser la protection des données traitées en interne

Afin de garantir la protection des données personnelles des citoyens. Toutes les entreprises doivent mettre en place une procédure de confidentialité et de sécurité optimale dès la conception d’un traitement.

Elles doivent aussi s’engager à informer la CNIL et les individus concernés, en cas de violation ou de fuite de données, sous 72h.

Cinquième : Constituer un dossier prouvant la conformité de l’entreprise

Afin de prouver votre conformité au RGPD en cas de contrôle de la CNIL vous devez constituer un dossier à présenter si besoin. Ce dossier comportera:

  • Votre registre de traitement.
  • Vos PIA.
  • Vos mesures de protection des données destinées à être exportées hors UE.
  • Vos modèles de recueillement du consentement des individus.
  • Vos procédures relatives à l’accès et l’exercice des droits des individus quant à leurs données.
  • Les mentions mises en place sur votre site pour informer les personnes physiques de la récolte et du traitement de leurs données.
  • Tous les contrats, sans exception, entre les différents acteurs
  • Les procédures mises en place en cas de violation et/ou de fuite de données.

Sans documentation complète, il vous sera impossible de prouver votre conformité.

 

Quel lien avec vos mentions légales ?

Pour être en parfait accord avec le RGPD, il vous faut adopter un comportement transparent. Afin d’assurer cette transparence totale, il vous est demandé d’informer les internautes de tout traitement de données, de l’usage de ces données, et de récolter leur consentement. Vous devez aussi leur rappeler leurs droits face à leurs données.

Pour ce faire, il faudra prévoir quelques changements dans vos mentions légales.

Deux solutions s’offrent à vous:

  • réserver une partie de votre page de mentions légales aux traitements de données
  • créer une page entière de votre site dédiée aux traitements de données.

Qu’importe la solution choisie, n’oubliez pas de:

  • informer vos visiteurs de la récolte de données
  • préciser l’usage
  • préciser la finalité
  • préciser le temps de conservation de celles-ci
  • mettre en avant les droits des individus sur leurs données. Notamment le droit de limitation, le droit à l’oubli et le droit à la portabilité. Ainsi que les procédures d’application de ces droits.

Est-ce une bonne idée d’utiliser un générateur de mentions légales ?

A priori, ces changements ne vous empêchent pas de faire usage de générateurs de mentions légales en ligne. Ces outils ont eu le temps d’être mis à jour pour prendre en compte les nouveautés introduites par le RGPD.

Ceci dit, pour plus de prudence, renseignez-vous directement auprès de l’éditeur du générateur utilisé afin de vous assurer de sa conformité au RGPD.

 

Quelle sanction en cas de non-conformité ?

Pourquoi se mettre en conformité ? Parce que, comme nous l’avons dit plus haut, il s’agit là d’un règlement et non d’une simple directive. Aucun pays de l’UE n’a le choix de le respecter ou non.

Ainsi, il faut savoir qu’en cas de non-conformité, une entreprise contrôlée par la CNIL risque une lourde sanction. Soit une amende de 20 000 000 € ou équivalente à 4% du chiffre d’affaires mondial de l’entreprise en question. Vous vous doutez bien que ce sera la valeur la plus élevée qui sera retenue…

Bref, un conseil : mettez-vous vite au RGPD. À l’heure où nous écrivons ces lignes, il ne vous reste plus qu’un mois et des poussières …

 

Utile

Générateur de mentions légales RGPD :
https://fr.orson.io/1371/generateur-mentions-legales