Publié le 20 mars 2018

    Vos questions, nos réponses au RGPD

    Intéressant cet article ?

    [Total : 6    Moyenne : 5/5]

    Sur cette page, vous trouverez l’ensemble des informations que nous pouvons vous apporter concernant le règlement sur la protection des données.

    Ces réponses sont données à titre informatif et n’ont aucune valeur juridique.

    Comme indiqué ici : (RGPD plan d’action), la personne la plus à-même de vous répondre sur ce sujet n’est autre que votre conseiller juridique habituel.

    Avant toute chose, il est nécessaire de définir quelques termes :

    Traitement des données : toute action portée sur des données personnelles (utilisation pour un mailing, sauvegarde, …)

    Responsable du traitement : la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement des données.

    Lorsque vous travaillez avec un sous-traitant (l’agence qui gère votre site par exemple) vous entrez dans une relation de co-responsabilité. Comprendre ici que vous êtes tout autant responsable que vos sous-traitants en cas de manquement à un des principes du RGPD. Si un de vos sous-traitants ne respecte pas le règlement, vous serez tenus pour responsable de cela.

    De ce fait, en tant que responsable du traitement, vous devrez vous assurer que votre sous-traitant présente des garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité prévues à l’article 34 de la loi Informatique et Libertés ;

    Vous devrez également définir clairement dans les contrats les obligations incombant au sous-traitant pour protéger la sécurité et la confidentialité des données et prévoir qu’il ne peut agir que sur instruction du responsable du traitement.

    De son côté, le sous-traitant devra fournir une politique de sécurisation des données, s’assurer de la bonne mise en place de celui-ci et vous fournir l’export des informations nécessaires en cas de contrôle.

    Car en effet, vous êtes le responsable des traitements des données et donc vous serez l’entité contrôlée.
    A votre charge donc, de veiller à ce que les prestataires que vous utilisez respectent les principes du RGPD.

    Notre réponse

    Initialement, le montant des sanctions prévu par la loi “Informatique et liberté” ne pouvait excéder 150 000€ (300 000€ ou 5% du chiffre d’affaire en cas de récidive).
    Avec la mise en place du RGPD, ce montant pourra être bien plus important.

    Pour tout ce qui concerne du manquement au Privacy By Design*, Privacy By Default**, le montant de l’amende pourra aller jusqu’à 10 millions d’euros ou 2% du chiffre d’affaires annuel mondial.

    Et, en cas de manquement au droit des personnes (droits d’accès, de rectification, d’opposition, de suppression, droit à l’oubli, etc.) la sanction pourra être encore plus élevée :
    Jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial dans le cadre d’une entreprise.

    *Privacy by Design : Concept d’assurer la plus haute protection possible des données et ce, dès la création de nouvelles applications, ou tout autre produit stockant des données personnelles

    **Privacy by Default : Assurer la plus haute protection, par défaut, à toutes les données stockées, sans besoin d’action de l’utilisateur pour acter cela

    Notre réponse

    Ici, il est nécessaire de faire la différence entre la cartographie des données et la mise en conformité de celles-ci.

    Il est possible pour nous, d’extraire toutes les données stockées par votre site. Néanmoins, il nous est absolument impossible de définir la légitimité de celles-ci.

    En effet, le RGPD demande de collecter des consentements d’utilisateurs afin de pouvoir stocker/utiliser/gérer leurs données si celles-ci ne sont pas nécessaires au bon fonctionnement de votre activité.

    Or, une fois que les données exportées par nos soins seront en votre possession, seul un conseiller juridique est capable de définir pour vous si ces données entrent ou non, dans le cadre du traitement du RGPD.

    Pour synthétiser, nous pouvons vous fournir un fichier référençant toutes les informations personnelles stockées par votre site, néanmoins il n’est pas de notre ressort de vous dire si vous avez – ou non – le droit de les conserver.

    Notre réponse

    Il faut savoir que que ce règlement s’applique sur toutes les données personnelles traitées par votre entreprise : passées, présentes et futures.

    En clair, vous ne pouvez pas continuer à conserver/utiliser des données personnelles stockées précédemment sans avoir acquis de consentement pour le faire.
    Seules les données strictement nécessaires à la réalisation du contrat qui vous lie à votre client : livrer un produit, réaliser une prestation de service, etc. échappent à la règle.

    Ex.
    1. Vous vendez des chaussures en ligne et vous stockez l’adresse postale de votre client pour livrer son colis.
    2. Vous vendez un produit dématérialisé, un logiciel par exemple et vous conservez également son adresse sans pour autant l’utiliser.

    Dans le premier cas vous pouvez légitimement conserver l’information personnelle de votre client car elle est essentielle à la réalisation du contrat qui vous lie ensemble. Dans le 2ème cas, vous n’avez pas l’utilité de conserver cette donnée. Vous devez donc la supprimer.

    D’où la nécessité pour vous, de vous faire aider par une personne tierce afin de cibler les données que vous ne devriez pas conserver.
    Une fois ces données répertoriées, il ne restera plus qu’à demander à votre prestataire digital de les supprimer.

    Notre réponse

    Ce que dit le texte :

    « Le consentement doit être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant, par exemple au moyen d’une déclaration écrite, y compris par voie électronique, ou d’une déclaration orale »

    Pour faire simple, la politique du “Qui ne dit mot, consent” devient absolument illégale.

    Il vous faudra mettre en place un moyen de collecter (et sauvegarder) le consentement de vos utilisateurs, les informer de la finalité du traitement de cette donnée, la durée de stockage de celle-ci et le moyen à travers lequel l’utilisateur pourra l’éditer / la supprimer.

    Votre conseiller juridique pourra vous donner toutes les formalités à respecter afin de n’oublier aucune information primordiale.

    Votre agence, elle, pourra vous aider à la mise en place de ce nouveau formulaire afin de collecter – et conserver – ces consentements.

    Notre réponse

    Dans un premier temps, il est obligatoire pour vous d’être transparent envers vos utilisateurs.

    Il vous faut impérativement les informer, lors de la collecte de leur consentement, que leurs informations seront utilisés par un service externe. Vous devez nommer précisément ces services et le consentement devra être explicite pour chacun d’entre eux. Les astuces du type “J’accepte de recevoir des informations commerciales de la part de nos partenaires” sont à présent strictement interdites.

    Enfin, il est bon à savoir que vous êtes tout autant responsable que les services avec lesquels vous partagez les informations personnelles de vos utilisateurs.

    De ce fait, si vous utilisez et/ou fournissez des données à des prestataires externes, il est de votre ressort de vous assurer de la bonne conformité de leurs procédés.

    Dans le cas où ils ne seraient pas en conformité avec le RGPD, les sanctions seront appliquées à tous, sans distinctions.

    Notre réponse

    Tout dépend des informations que vous détenez dans votre base.

    On peut définir ici, qu’une adresse email de type nom.prénom@societe.com est une donnée personnelle. Donc, si vous planifiez d’utiliser cette adresse afin d’envoyer des campagnes marketing et/ou si vous ne pouvez pas justifier que cette donnée est essentielle au bon fonctionnement de votre activité, il vous faudra récupérer un consentement de l’utilisateur pour la conserver.

    Néanmoins contact@masociete.com, n’est pas considéré comme donnée personnelle car elle ne permet pas d’identifier une personne en tant que telle.

    La meilleure solution ici, serait encore une fois, de contacter un spécialiste qui vous permettrait de définir quelles sont les informations que vous détenez, pouvant être considérées comme “informations personnelles” et celles qui ne poseront aucun problème.

    Alex D.

    Interview_Gaelle-Dauger_Easyparapharmacie_Blog-JETPULP
    Interview_Gaelle-Dauger_Easyparapharmacie_Blog-JETPULP
    Interview_Gaelle-Dauger_Easyparapharmacie_Blog-JETPULP
    Interview_Gaelle-Dauger_Easyparapharmacie_Blog-JETPULP
    0 Commentaires
    Répondre
    Se joindre à la discussion ?
    Vous êtes libre de contribuer !
    Laisser un commentaire

    Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *