Protection des données : Êtes-vous prêts pour mai 2018 ?

Protection des données ©Fotolia

La RGPD entre bientôt en vigueur. Les entreprises vont devoir analyser quelles données elles collectent, pourquoi et si elles doivent les déclarer.

Direc­tive euro­péenne, la régle­men­ta­tion géné­rale de la pro­tec­tion des don­nées entre en vigueur le 25 mai 2018. Fichiers clients, fichiers pros­pects, don­nées de géo­lo­ca­li­sa­tion des véhi­cules des sala­riés… La grande majo­ri­té des entre­prises — pour ne pas dire toutes — est concer­née. Elles devront nom­mer un réfé­rent char­gé de réa­li­ser un inven­taire des fichiers et des types de don­nées, d'en déter­mi­ner les fina­li­tés et les moyens de trai­te­ment. « Cette per­sonne n'est pas néces­sai­re­ment des­ti­na­taire des don­nées. Elle doit rési­der sur le ter­ri­toire fran­çais », pré­cise Joce­lyn Bouil­hol, chef de pro­jet chez Espace Numé­rique Entre­prise. « Pour chaque fichier, il fau­dra se deman­der s'il s'agit de don­nées à carac­tère per­son­nel, si un trai­te­ment est appli­qué à ces don­nées et si l'on se situe dans un cadre stric­te­ment per­son­nel ou pro­fes­sion­nel. Une don­née est consi­dé­rée comme per­son­nelle à par­tir du moment où elle per­met d'identifier la per­sonne », pour­suit-il.

Il existe une dis­pense de décla­ra­tion à la Com­mis­sion natio­nale infor­ma­tique et liber­té (Cnil) pour les asso­cia­tions, les fichiers non-com­mer­ciaux et les fichiers four­nis­seurs. Les fichiers clients et pros­pects font l'objet d'une décla­ra­tion sim­pli­fiée, les don­nées issues de la vidéo­sur­veillance du lieu de tra­vail d'une décla­ra­tion nor­male. Les fichiers de pré­ven­tion de chèques impayés et les don­nées néces­saires au contrôle bio­mé­trique sont sou­mis à auto­ri­sa­tion. La décla­ra­tion porte sur l'existence de ces fichiers. Ils ne sont pas trans­mis.

Consentement

Les Français et la protection des données ©Symantec

« La démarche auprès de la Cnil prend peu de temps. La RGPD induit, en revanche, un chan­ge­ment de phi­lo­so­phie, note Joce­lyn Bouil­hol. Un gros tra­vail sera à réa­li­ser sur le recueil du consen­te­ment de l'individu sur la col­lecte et le trai­te­ment de ses datas. Sans doute fau­dra-t-il deman­der ce consen­te­ment pour cha­cun des usages. Il devient en effet obli­ga­toire de pré­ci­ser l'objectif de cette col­lecte. De plus, le texte intro­duit une notion de pro­por­tion­na­li­té entre les don­nées col­lec­tées et l'usage auquel on les des­tine. Il faut pré­ci­ser les moyens de sécu­ri­sa­tion mis en place. On ne peut pas les conser­ver indé­fi­ni­ment. Et l'on doit infor­mer les uti­li­sa­teurs de leurs droits sur l'effacement et la por­ta­bi­li­té des don­nées. De plus, la sécu­ri­té des don­nées doit être inté­grée dès la concep­tion du pro­duit. Les entre­prises vont devoir s'interroger, savoir qui a accès aux don­nées, en tout ou par­tie et pour quel usage. » Et le chef de pro­jet de l'ENE de rap­pe­ler les règles des sites inter­net : ban­deau d'alerte sur les cookies, sys­tème d'opt-in pour accep­ter le recueil et le trai­te­ment de ses don­nées (la case ne doit pas être pré­co­chée) et numé­ro d'agrément de la Cnil (four­ni après décla­ra­tion des fichiers) à indi­quer dans les men­tions légales. Les mails d'information et mails com­mer­ciaux doivent conte­nir un lien de dés­ins­crip­tion (opt-out), d'autant qu'il existe une tolé­rance sur la consti­tu­tion d'un fichier clients ou pros­pects à par­tir des cartes de visite obte­nues, par exemple, lors d'un salon. Faire n'importe quoi avec les don­nées, c'est s'exposer à des amendes jusqu'à 4 % du chiffre d'affaires de l'entreprise.

Sécurité

La RGPD cor­res­pond à une vraie attente du public. En effet, 88 % des consom­ma­teurs font de la sécu­ri­té des don­nées, un enjeu clé de l'acte d'achat, achat au moment duquel 57 % hésitent à don­ner des infor­ma­tions per­son­nelles.


Soirée Numéribourg

Joce­lyn Bouil­hol inter­ve­nait le 22 novembre dans le cadre de la pre­mière soi­rée de confé­rences orga­ni­sée par Numé­ri­bourg, le grou­pe­ment des entre­prises du numé­rique du bas­sin de Bourg-en-Bresse. Ces soi­rées cor­res­pondent aux objec­tifs de l'association, de per­mettre aux acteurs de la filière de se ren­con­trer, d'échanger et de faire connaître leur offre.


Par Sébas­tien Jac­quart

INSCRIPTION NEWSLETTER

Soyez le premier à commenter

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.


*