Bienvenue Fermer

Vous êtes adhérent Médicis mais n'avez pas encore accès à votre espace personnel ?

Activer mon compte
Bienvenue Fermer

RGPD : quelles obligations pour les commerçants ?

RGPD : quelles obligations pour les commerçants ?
Une nouvelle régulation européenne, le Règlement Général sur la Protection des Données (RGPD), est entrée en application le 25 mai dernier. Le RGPD fixe de nouvelles règles de gestion des données personnelles traitées par les entreprises. En tant que commerçant, vous devez mettre en œuvre vos  propres dispositifs de protection des données personnelles. Voici les actions à mener pour assurer votre mise en conformité avec les nouvelles obligations.

Le RGPD, Règlement Général sur la Protection des Données, qu’est-ce que c’est ?

Le Règlement Général sur la Protection des Données (RGPD) est un texte réglementaire européen développé pour encadrer le traitement des données personnelles de manière harmonisée sur tout le territoire de l’Union Européenne. Le RGPD s’inscrit dans la continuité de la loi française Informatique et Libertés de 1978 et renforce le contrôle par les citoyens de l’utilisation qui est faite des données les concernant. Le RGPD a pour objectif de permettre aux entreprises européennes de développer leurs activités numériques dans un cadre juridique unique, avec une confiance renforcée des consommateurs.

RGPD : qu’est-ce qu’une donnée personnelle ?

Une « donnée personnelle » est une information se rapportant à une personne physique identifiée ou identifiable. Une personne peut être identifiée :

  • directement : nom, prénom, adresse postale, adresse électronique, etc. ;
  • indirectement : par un identifiant (n° client), un numéro de téléphone, un numéro de carte bancaire, etc.

Lorsque des opérations portant sur des données personnelles sont effectuées par votre entreprise (collecte, conservation, utilisation, mise à jour, etc.), on considère qu’il s’agit d’un traitement de données personnelles. Par exemple, sont considérés comme un traitement de données :

  • la tenue d’un fichier de ses clients (pour éditer les factures, effectuer des livraisons, proposer une carte de fidélité, etc.) ;
  • la collecte de coordonnées de prospects via un questionnaire ;
  • la mise à jour d’un fichier de fournisseurs.

Un traitement de données personnelles n’est pas nécessairement informatisé : les fichiers papier sont également concernés et doivent être protégés dans les mêmes conditions.

En tant que commerçant, êtes-vous concerné par les nouvelles obligations de mise en conformité au RGPD ?

Le RGPD s’applique à toute entreprise de l’Union européenne qui traite des données personnelles de tiers, quels que soient sa taille, son pays d’implantation et son activité.

En tant que commerçant, vous êtes concerné par les nouvelles obligations du RGPD dès lors que vous détenez, par exemple, des fichiers clients, fournisseurs ou employés.

RGPD : les actions à mener pour la mise en conformité au RGPD

Le RGPD renforce les obligations d’information et de transparence à l’égard des personnes dont vous traitez les données (clients, fournisseurs, employés, etc.). Voici les 4 actions principales à mener afin de garantir une utilisation des données personnelles collectées transparente et respectueuse de la vie privée des personnes concernées.

1 - Établissez un registre des activités de traitement des données personnelles

Au sein de votre entreprise, désignez un responsable des données personnelles (par exemple, le chef d’entreprise ou le/la comptable).

Son rôle est, en particulier, de constituer et de mettre à jour le registre des activités de traitement. Ce registre, qui doit lister tous vos fichiers de traitements de données, vous permettra d’avoir une vision d’ensemble sur vos traitements de données. Identifiez les activités principales de votre entreprise qui nécessitent la collecte et le traitement de données : recrutement, gestion de la paie, formation, gestion des badges et des accès, gestion des clients prospects, etc.

Le registre doit être tenu à jour sous forme papier ou électronique et doit pouvoir être produit en cas de contrôle.

Pour pouvez utiliser le modèle de registre proposé par la CNIL. N’hésitez pas également à vous rapprocher de l’éditeur de vos logiciels comptables et financiers et de votre prestataire de site internet, le cas échéant.

2 – Faites le tri dans vos données personnelles

Pour chaque fiche de registre créée, vérifiez que :

  • vous ne collectez que les données vraiment nécessaires à votre activité (par exemple, il n’est pas utile de savoir si vos salariés ont des enfants, si vous n’offrez aucun service ou rémunération attachée à cette caractéristique) ;
  • vous ne traitez aucune donnée dite « sensible » (ou, si c’est le cas, que vous avez bien le droit de les traiter) ;
  • seules les personnes habilitées ont accès aux données dont elles ont besoin ;
  • vous ne conservez pas vos données au-delà de ce qui est nécessaire.

3 – Respectez les droits des personnes dont les données sont collectées

À chaque fois que vous collectez des données personnelles, le support utilisé (formulaire, questionnaire, etc.) doit comporter des mentions d’information (mentions légales RGPD) : pourquoi vous collectez les données, qui a accès aux données, les modalités selon lesquelles les personnes concernées peuvent exercer leurs droits, etc.  Des exemples de mentions légales RGPD sont disponibles sur le site internet de la CNIL.

Les personnes dont vous traitez les données ont des droits sur leurs données : droit d’accès, de rectification, d’opposition, d’effacement, à la portabilité et à la limitation du traitement. Vous devez leur donner les moyens d’exercer effectivement ces droits. Si vous disposez d’un site web, prévoyez un formulaire de contact spécifique, un numéro de téléphone ou une adresse de messagerie dédiée. Si vous proposez un compte en ligne, donnez à vos clients la possibilité d’exercer leurs droits à partir de leur compte.

Votre registre des activités de traitement vous permet également de garder la preuve que les personnes incluses dans votre fichier vous ont autorisé à récolter leurs données personnelles. Par exemple, dès lors que vous recueillez des données en ligne ou que vous envoyez des informations commerciales via une newsletter, vous devez obtenir le consentement du client via une case à cocher spécialement configurée. De même, lors de la création d’un compte client en boutique, le client doit remplir un formulaire papier.

4 – Assurez la sécurisation des données collectées

Vous devez minimiser les risques de pertes de données ou de piratage grâce à la mise à jour régulière de vos antivirus et logiciels, à l’utilisation de mots de passe complexes et au changement régulier de ces mots de passe et à la mise en place d’une procédure de sauvegarde et de récupération des données en cas d’incident. Le responsable des données personnelles est chargé de vérifier la mise en œuvre de ces mesures de sécurisation des données. Pour en savoir plus, consultez le Guide sécurité des données personnelles de la CNIL.

Si des données personnelles traitées par votre entreprise ont été, de manière accidentelle ou illicite, détruites, perdues, altérées, divulguées, ou si vous avez constaté un accès non autorisé à des données, vous devez signaler à la CNIL cette violation des données personnelles dans les 72 heures s’il y a un risque pour les droits et libertés des personnes concernées. Cette notification s’effectue en ligne sur le site internet de la CNIL.

Pour aller plus loin : un guide pratique de la CNIL est dédié aux entreprises qui communiquent ou vendent en ligne.

 

Source : Guide pratique de sensibilisation au RGPD pour les TPE et PME – CNIL / BPI