RGPD - zaena coiffure bien-être

Qu’est-ce que le RGPD ?

C’est le Règlement Général Européen de Protection des Données. Il s’applique uniformément à tous les Etats membres de l’Union Européenne et confère un niveau équivalent de protection des données personnelles.

Il est applicable depuis le 25 mai 2018. La CNIL est l’organe de contrôle et le garant de la protection des données personnelles.

Qui est concerné ?

Le RGPD concerne l’ensemble des organismes publics et privés qui collectent et traitent des données personnelles émanant d’individus situés sur le territoire européen et précise les obligations des responsables de traitements de ces données, les droits des personnes et renforce considérablement les sanctions applicables.

Le RGPD concerne aussi les sous-traitants qui traitent des données personnelles pour le compte d’autres organismes.

Ainsi, si vous traitez ou collectez des données pour le compte d’une autre entité (entreprise, collectivité, association), vous avez des obligations spécifiques pour garantir la protection des données qui vous sont confiées (voir chapître 5 « La sous-traitance », page 44).

Cependant, ces principes ne sont pas nouveaux en France. La Loi Informatique et Libertés fixe depuis 1978 un cadre à la collecte et au traitement de ces données. Le règlement européen l’abroge et consacre de nouvelles dispositions dans la continuité des principes existant (principe de finalité, pertinence et proportionnalité, durée limitée, sécurité et confidentialité, respect du droit des personnes).

En tant qu’entrepreneur, ces nouvelles obligations vous inciteront notamment à plus de transparence dans vos relations avec vos interlocuteurs : clients, salariés, prospects, fournisseurs, etc.

Faire comprendre la manière dont vous utilisez leurs données personnelles et leur donner la possibilité de les maîtriser, renforcera la confiance et favorisera donc votre activité.

Qu’est-ce qu’une donnée personnelle ?

Une donnée personnelle est une information susceptible d’identifier directement ou indirectement une personne physique.

Il peut donc s’agir du nom, prénom, de l’adresse postale ou électronique ou encore du numéro de sécurité sociale. Mais cela peut aussi être le numéro de carte de paiement, la plaque d’immatriculation du véhicule, l’historique de navigation web ou même les données de géolocalisation. Leur divulgation ou leur mauvaise utilisation pourrait porter atteinte aux droits et libertés des personnes ou à leur vie privée.

Qu’est-ce qu’un traitement de données personnelles ?

Un « traitement de données personnelles » est une opération, ou ensemble d’opérations, portant sur des données personnelles, quel que soit le procédé utilisé (collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission diffusion ou toute autre forme de mise à disposition, rapprochement).

Par contre, un fichier ne contenant que des coordonnées d’entreprises (par exemple, entreprise « Compagnie A » avec son adresse postale, le numéro de téléphone de son standard et un email de contact générique « compagnieA@email.fr ») n’est pas un traitement de données personnelles.

Un traitement de données personnelles n’est pas nécessairement informatisé : les fichiers papier sont également concernés et doivent être protégés dans les mêmes conditions.

Les 4 actions principales à mener pour entamer la conformité

Ces actions doivent perdurer dans le temps pour être efficaces.

1/ Recencez vos fichiers

Le registre listant vos traitements de données vous permettra d’avoir une vision d’ensemble.

Identifiez les activités principales de votre entreprise qui nécessitent la collecte et le traitement de données (exemples : recrutement, gestion de la paye, formation, gestion des badges et des accès, statistiques de ventes, gestion des clients prospects, etc.).

Appuyez-vous sur le modèle de registre proposé par la CNIL sur son site internet.

Dans votre registre, créez une fiche pour chaque activité recensée, en précisant :

• l’objectif poursuivi (la finalité – exemple : la fidélisation client) ;
• les catégories de données utilisées (exemple pour la paie : nom, prénom, date de naissance, salaire, etc.) ;

• qui a accès aux données(ledestinataire-exemple:service chargé du recrutement, service informatique, direction, prestataires, partenaires, hébergeurs) ;

• la durée de conservation de ces données (durée durant laquelle les données sont utiles d’un point de vue opérationnel, et durée de conservation en archive).

Le registre est placé sous la responsabilité du dirigeant de l’entreprise. Pour avoir un registre exhaustif et à jour, il faut en discuter et être en contact avec toutes les personnes de l’entreprise susceptibles de traiter des données personnelles.

Vous n’avez pas en revanche à mentionner au registre les traitements purement occasionnels (exemple : fichier constitué pour une opération événementielle ponctuelle comme l’inauguration d’une boutique).

En constituant votre registre, vous aurez une vision d’ensemble sur vos traitements de données.

2/ Faites le tri dans vos données

Pour chaque fiche de registre créée, vérifiez :

• que les données que vous traitez sont nécessaires à vos activités (par exemple, il n’est pas utile de savoir si vos salariés ont des enfants, si vous n’offrez aucun service ou rémunération attachée à cette caractéristique) ;

Que vous ne traitez aucune donnée dite «sensible» ou,si c’est le cas, que vous avez bien le droit de les traiter (voir chapître 6 « Traitements de données à risque : êtes-vous concerné ? », page 50) ;

que seules les personnes habilitées ont accès aux données dont elles ont besoin ;

que vous ne conservez pas vos données au-delà de ce qui est nécessaire.

À cette occasion, améliorez vos pratiques !

Minimisez la collecte de données, en éliminant de vos formulaires de collecte et vos bases de données toutes les informations inutiles. Redéfinissez qui doit pouvoir accéder à quelles données dans votre entreprise. Pensez à poser des règles automatiques d’effacement ou d’archivage au bout d’une certaine durée dans vos applications.

3/ Respectez le droit des personnes

Informez les personnes

À chaque fois que vous collectez des données personnelles, le support utilisé (formulaire, questionnaire, etc.) doit comporter des mentions d’information.

Vérifiez que l’information comporte notamment les éléments suivants :

pourquoi vous collectez les données (« la finalité » ; par exemple pour gérer l’achat en ligne du consommateur) ;

ce qui vous autorise à traiter ces données (le « fondement juridique » : il peut s’agir du consentement de la personne concernée, de l’exécution d’un contrat, du respect d’une obligation légale qui s’impose à vous, de votre « intérêt légitime ») ;

qui a accès aux données (indiquez des catégories : les services internes compétents, un prestataire, etc.) ;

combien de temps vous les conservez (exemple : « 5 ans après la fin de la relation contractuelle ») ;

les modalités selon lesquelles les personnes concernées peuvent exercer leurs droits (via leur espace personnel sur votre site internet, par un message sur une adresse email dédiée, par un courrier postal à un service identifié) ;

si vous transférez des données hors de l’Union européenne (précisez le pays et l’encadrement juridique qui maintient le niveau de protection des données).

Des exemples de mentions sont disponibles sur le site internet de la CNIL.

Pour éviter des mentions trop longues au niveau d’un formulaire en ligne, vous pouvez par exemple, donner un premier niveau d’information en fin de formulaire et renvoyer à une politique de confidentialité/ page vie privée sur votre site internet.

À l’issue de cette étape, vous avez répondu à votre obligation de transparence.

Permettez aux personnes d’exercer facilement leurs droits

Les personnes dont vous traitez les données (clients, collaborateurs, prestataires, etc.) ont des droits sur leurs données, qui sont d’ailleurs renforcés par le RGPD : droit à l’information, droit d’accès, de rectification, d’opposition, à l’effacement, à la portabilité et à la limitation du traitement.

Vous devez leur donner les moyens d’exercer effectivement leurs droits. Si vous disposez d’un site web, prévoyez un formulaire de contact spécifique, un numéro de téléphone ou une adresse de messagerie dédiée. Si vous proposez un compte en ligne, donnez à vos clients la possibilité d’exercer leurs droits à partir de leur compte.

Mettez en place un processus interne permettant de garantir l’identification et le traitement des demandes dans des délais courts (1 mois au maximum).

4/ Sécurisez vos données

Garantissez l’intégrité de votre patrimoine de données en minimisant les risques de pertes de données ou de piratage.

Les mesures à prendre, informatiques ou physiques, dépendent de la sensibilité des données que vous traitez et des risques qui pèsent sur les personnes en cas d’incident.

Différentes actions doivent être mises en place : mises à jour de vos antivirus et logiciels, changement régulier des mots de passe et utilisation de mots de passe complexes, ou chiffrement de vos données dans certaines situations. En cas de perte ou vol d’un outil informatique, il sera plus difficile pour un tiers d’y accéder.

Les failles de sécurité ont également des conséquences pour ceux qui vous ont confié des données personnelles. Ayez à l’esprit les conséquences pour les personnes de la perte, la divulgation, la modification non souhaitée de leurs données, et prenez les mesures nécessaires pour minimiser ces risques.

Signalez à la CNIL les violations de données personnelles

Votre entreprise a subi une violation de données (des données personnelles ont été, de manière accidentelle ou illicite, détruites, perdues, altérées, divulguées ou vous avez constaté un accès non autorisé à des données) ?

Vous devez la signaler à la CNIL dans les 72 heures si cette violation est susceptible de représenter un risque pour les droits et libertés des personnes concernées. Cette notification s’effectue en ligne sur le site internet de la CNIL.

Si ces risques sont élevés pour ces personnes, vous devrez les en informer.

À l’issue de cette étape, vous serez en capacité d’assurer une protection des données personnelles en continu et de faire face aux incidents.

Source : Guide pratique de sensibilisation au RGPD par la CNIL et la BPI