Services informatiquesÉtudesConformité RGPD
Page publiée le . Pardon pour la dysorthographie, les articles sont à corriger

Service de conformité RGPD à La Réunion (974)

Le règlement n° 2016/679 connu sous le nom de RGPD (GDPR en anglais) s’applique sur le territoire européen depuis le 25 mai 2018. Le RGPD oblige les entreprises à un traitement spécial des données informatiques à caractère personnel. Les entreprises doivent obtenir un consentement impartial quant à l’acceptation de la collecte et du traitement des données personnelles de leurs clients. Elles ont l’obligation de traiter ces données de façon sécurisée et alerte.

Le règlement RGPD impose aux entreprises de recevoir un consentement « explicite » et « positif » pour la collecte de données personnelles (exemple : âge, sex, taille, opinions, habitudes, maladies..). Elles doivent aussi octroyer à leurs clients et utilisateurs le droit d’effacer ces données à tous moment.

Le règlement RGPD donne le droit à toutes personnes de ne pas faire l’objet d’une décision basée exclusivement sur un traitement automatisé de son profilage.

Le règlement RGPD oblige les entreprises et les concepteurs de logiciels à créer des applicatifs pensés « protection des données avant tout ». En cas de fuite de données le règlement oblige les entreprises à communiquer, à l’autorité nationale de protection (CNIL en France) et aux utilisateurs, la nature et la gravité de cette fuite d’informations.

Le règlement RGPD oblige les entreprises à garder une trace du consentement explicite, vous devez donc conserver soit une signature pour une autorisation physique, soit des informations précises du type adresse IP et date dans le cadre d’un consentement dématérialisé par internet.

Application et sanctions

Le règlement RGPD est applicable immédiatement dans les États membres de l’Union européenne. C’est un règlement qui passe au dessus de tous les règlements existants dans les États membres. Le RGPD s’applique à toutes les entreprises intervenant et commerçant sur le territoire Européen même celles en dehors de l’Union.

Les sanctions en cas d’infraction au règlement RGPD peuvent aller jusqu’à 4% du chiffre d’affaire avec un minimum de 20 millions d’euros.

Des responsabilités recentrées

Le règlement RGPD responsabilise tous les acteurs de la collecte de données. Ça n’est pas parce que vous ne vous chargez pas du traitement des données et que vous avez délégué cette démarche à un fournisseur de service que vous ne devez pas vous conformer au règlement RGPD. Toute la chaîne est désormais responsable des données des utilisateurs.

Si vous fournissez par exemple une carte de fidélité d’un prestataire tiers, vous êtes autant responsable des données collectées que le fournisseur tiers. Si vous organisez un jeu concours d’un tiers qui demande des informations personnelles, vous en êtes aussi responsable.

Si vous utilisez un site tiers type Google Analytics sur votre site internet, vous êtes responsable du suivi de vos visiteurs et donc vous êtes responsable de la demande d’autorisation pour faire ce type de collecte. Si vous disposez d’un bouton « jaime » de Facebook sur votre site internet c’est pareil.

Des réponses obligatoires

Le règlement RGPD impose aux entreprises de répondre positivement aux utilisateurs soumettant des requêtes en rapport à leurs données personnelles. Vous ne pouvez plus ignorer des demandes d’utilisateurs soucieux de leurs confidentialités et il est fort à parier que ce type de demande sera en augmentation constante dans les mois et les années à venir.

Le règlement RGPD impose aux entreprises traitants des données personnelles l’obligation de rendre ces données accessibles et portables à leurs utilisateurs. Ces données doivent être transmises dans un format lisible et facilement interprétable par des machines afin qu’elles puissent être utilisées par un autre fournisseur de service. En bref si vous enregistré un historique sur vos clients il doit être possible d’en produire une image informatique que vous devrez fournir aux clients qui en feraient la demande.

Le règlement RGPD impose la nomination d’un « délégué à la protection des données » lorsque le traitement est effectué par une autorité publique, lorsque les données sont collectées pour un suivi (carte de fidélité..) ou que les données sont sensibles (infractions, santé, fragilité..). Ce délégué est la personne responsable du bon fonctionnement de la protection de ces données et le référant des demandes d’utilisateurs.

Pour les entreprises

Lorsque vous collecté des données sur vos clients, les données doivent désormais être stockées dans des environnements sécurisés. Ces données peuvent être insignifiantes comme une simple adresse ou un age, elles tombent quand même sous le coup de la directives RGPD et doivent donc être traitées de façon alerte et en sécurité.

En cas de piratage de votre informatique, ou d’une infection par un virus, la directive RGPD vous oblige à informer vos utilisateurs et la CNIL le plus rapidement possible que des données ont pu fuiter.

Tant que les données collectées ne sont pas trop précises ou qu’elles ne servent pas à faire des suivis et donc des profilages de vos clients vous ne risquez rien. Vous ne risquez des sanctions qu’en cas de fuite car il pourra être constaté que vous n’aurez pas donné assez d’importance à la sécurisation des données sensibles de vos clients.

Pour vous prémunir de sanctions quant au non respect de la directive, la meilleure des choses à faire est de ne pas conserver des données à caractère personnelle au delà d’un usage limité dans le temps.

Pour les sites internet

Par extrapolation un site internet doit désormais demander l’accord de ses visiteurs pour charger des scripts tiers type : publicité, boutons sociaux, statistiques. Car ces scripts collectent des informations personnelles qui servent à profiler les visiteurs et donc sont sous le coup de la directive RGPD.

Les sites n’ont plus le droit de faire des statistiques basées sur des cookies de suivi avant que l’utilisateur n’en ai été informé et qu’il ait pu accepter ce type de suivi.

Les publicités ne peuvent plus s’afficher tant que l’utilisateur n’a pas été informé qu’il va être surveillé et profilé et qu’il ait pu donner son accord à ce type de suivi.

Aucune publicité ou boutons tiers ne peut s’afficher avant que l’utilisateur ait donné son consentement explicite.

En plus de ce consentement l’utilisateur doit pouvoir modifier sont choix de façon simple et être informé de la possibilité de le faire.

En cas de piratage de votre site internet, la directive RGPD vous oblige à informer vos utilisateurs et la CNIL le plus rapidement possible.

A l’heure actuelle très peu de sites internet appliquent réellement la directive RGPD ; et encore moins à La Réunion. Tous risquent des sanctions importantes pour le non respect de ces directives. Les premières sanctions viendront des régies publicitaires car elles risquent de cumuler les plaintes et donc devenir tatillonne sur le sujet.

Dans les semaines à venir beaucoup de sites seront sanctionnés par Google AdSense et il ne serait pas étonnant que Google Search déclasse des sites ne respectant pas le RGPD.

Mes services

Je vous propose mes services pour la mise en conformité de votre entreprise à cette directive RGPD. Je vous propose un audit préalable pour fixer la nécessité d’un intervention ou d’une consultance/formation plus poussée.

En faisant la démarche d’une vérification de conformité, elle vous permettra d’accéder à un sursis de temps du fait de votre volontarisme.


Poser une question, envoyer un message