Le RGPD, à savoir la nouvelle réglementation européenne qui, prochainement, renforcera considérablement la législation relative à la protection de la vie privée, a déjà fait grand bruit. Tout le monde en a déjà entendu parler, mais pratiquement personne ne sait de quoi il retourne exactement. Quelles conséquences il va avoir pour vous en tant qu’entrepreneur indépendant?
Que signifient les lettres RGPD et quel est l’objectif poursuivi à travers cette nouvelle réglementation ?
Le Règlement général sur la protection des données est généralement désigné en abrégé par les lettres RGPD. Il se peut également que vous rencontriez les lettres GDPR. Celles-ci renvoient à la version anglaise du texte, à savoir la General Data Protection Regulation. La nouvelle réglementation européenne porte sur la protection des données personnelles traitées par les entreprises.
L’objectif du RGPD est double : d’une part, il entend préserver la vie privée des citoyens européens, d’autre part, il entend donner aux citoyens davantage de droits sur l’utilisation qui est faite de leurs données personnelles.
La réglementation s’articule autour de 4 piliers :
1. CONSENTEMENT
Le consentement est l’un des fondements juridiques sur lequel vous pouvez vous baser pour collecter et traiter des données personnelles, parallèlement à l’exécution d’un contrat ou à une obligation légale, par exemple. Le consentement requiert un acte positif, il doit être formulé de manière libre, éclairée, univoque et spécifique. En tant qu’entreprise ou organisation, vous devez ensuite pouvoir prouver que vous avez obtenu le consentement de la personne concernée en vue de collecter ou de traiter ses données.
2. OBLIGATION DE NOTIFICATION
Il y a eu un problème et vous êtes confronté, en tant qu’entrepreneur indépendant, à une fuite de données ? Vous devez signaler cette fuite de données aux autorités dans les 72 heures, sauf si la fuite n’implique aucune menace pour les données personnelles. L’obligation de notification ne s’arrête toutefois pas là. Vous êtes par ailleurs tenu de signaler la fuite de données dans les 72 heures à « la victime » ou à la personne concernée, dans le cas où vous estimez que son droit au respect de la vie privée est gravement menacé.
3. TRANSPARENCE
Vous devrez être ouvert à l’égard du client et lui expliquer en termes simples de quelle manière vous collectez et traitez ses données.
4. DROIT À L’OUBLI
Votre client peut demander à ce que ses données personnelles soient effacées. En vertu de la nouvelle réglementation, votre client y a droit sous certaines conditions. Si votre client satisfait à ces conditions, vous êtes obligé, en tant qu’entrepreneur, d’accéder à sa demande et de supprimer toutes ses données personnelles dès l’entrée en vigueur de la nouvelle réglementation.
En quoi consistent concrètement les données personnelles ?
Dans le RGPD, tout tourne autour de la notion de « données personnelles ». Mais qu’englobe exactement cette notion ?
Un fichier Excel dans lequel vous notez toutes vos commandes, une liste d’adresses e-mail pour les publipostages ou lettres d’information que vous envoyez, une base de données contenant les données de vos clients… sont autant d’exemples de conteneurs de données personnelles.
Pour pouvoir vous conformer à la nouvelle réglementation, vous devez évidemment savoir ce que la loi entend précisément par données personnelles. Toute forme d’information qui peut être associée directement ou indirectement à un individu et qui concerne sa vie privée, professionnelle ou publique, relève du dénominateur commun de données personnelles.Songez à cet égard à un nom, une adresse e-mail, une photo, des données médicales, des données financières, mais aussi à une adresse IP ...
À qui s’appliquent les nouvelles règles ?
Toute personne qui traite des données personnelles dans son entreprise devra se conformer aux nouvelles règles. Cela signifie donc : pratiquement tout le monde. Dès le moment où vous prenez des commandes et où vous enregistrez les données relatives à ces commandes dans un document, vous traitez des données. Du boucher au concepteur de sites web : personne n’échappe au RGPD.
Qu’est-ce qu’un DPD et dois-je en désigner un ?
Un délégué à la protection des données (DPD) est la personne au sein de votre organisation qui veille à ce que vous traitiez correctement les données personnelles, tel qu’imposé par le RGPD. Votre DPD supporte un certain nombre de responsabilités spécifiques :
- informer et conseiller votre entreprise sur ses droits et devoirs dans le cadre du RGPD
- aider l’entreprise à se conformer au RGPD
- vérifier si votre entreprise respecte la législation
- entretenir le contact avec les autorités externes.
Toutes les entreprises ne sont pas tenues de désigner un DPD. Seules les entreprises qui répondent à un des critères suivants ont l’obligation d’engager un DPD :
- Les entreprises qui effectuent des opérations de traitement à grande échelle avec observation des personnes (par ex. caméras de surveillance dans des espaces publics ou suivi en ligne de personnes)
- Les organisations qui effectuent des opérations de traitement à grande échelle de catégories particulières de données ou de données relatives à des infractions
- Les autorités publiques ou instances gouvernementales
Comment faire en tant qu’indépendant pour conformer mon entreprise au RGPD?
Vous pouvez vous inspirer du plan en 13 étapes de la Commission vie privée pour prendre quelques mesures concrètes. Il y a également diverses modifications mineures (quick-wins) auxquelles vous pouvez directement procéder :
1. Analysez vos données
Faites l’inventaire de toutes les données que vous possédez, en n’oubliant pas de préciser sous quelle forme et à quel endroit vous les conservez. Vous serez étonné de la quantité de données en votre possession: songez à vos données clients, à votre système de facturation, à votre outil RH éventuel pour gérer les salaires de vos collaborateurs, à votre outil de rédaction d’e-mails à l’intention de vos clients…
2. Déterminez la nature des données que vous utilisez
Certaines données sont en effet plus sensibles que d’autres. Il est dès lors préférable de classer les données que vous collectez en catégories. Exemples de données très sensibles : données médicales, données de mineurs, données liées à des infractions pénales, numéro de registre national…
3. Réfléchissez à la protection de vos données
Les données en votre possession sont-elles bien protégées et de quelle manière s’opère cette protection ? Penchez-vous également sur la protection de votre site internet. Qui a par exemple accès aux mots de passe que vous utilisez ? Votre site internet est-il suffisamment protégé contre les attaques extérieures ?
4. Documentez tout ce que vous mettez en place dans le cadre du RGPD.
Consignez toutes les mesures que vous prenez pour vous conformer au RGPD. Cela vous permettra de montrer aux autorités compétentes que vous mettez tout en œuvre pour satisfaire au nouveau règlement.
Assurez-vous de reprendre les informations suivantes dans votre rapport :
- les formations que vous avez suivies sur le RGPD ;
- les modifications que vous avez effectuées pour protéger vos données ;
- un plan de votre infrastructure Informatique ;
- des listes récapitulatives des outils avec lesquels vous travaillez.
Source : cet article a eté repris du site de Zenito avec leur accord. Zenito est un groupe de services qui accompagne les entrepreneurs (guichet d'entreprise, caisse d'assurances sociales, pension complémentaire).
Unizo mais aussi UCM organisent régulièrement des workshops au sujet du RGDP.