Tout le monde me parle du RGPD
Mais c’est quoi au juste ?
Petite définition
Le RGPD (Règlement Général de la Protection des Données) est un règlement établi par l’Union européenne en mai 2018. C’est actuellement le texte de référence en matière de protection des données à caractère personnel.
Que faut-il faire pour être en conformité avec le RGPD ?
Première chose : une déclaration à la CNIL
Qu’est-ce que la CNIL ?
La CNIL (Commission Nationale de l’Informatique et des Libertés) est une autorité administrative indépendante française créée en 1978 par la Loi informatique et libertés. Elle veille au respect de la vie privée et des droits de chacun dans le « monde numérique » : informatique, vidéosurveillance, Internet.
Quel site doit-on déclarer à la CNIL ?
Dès que vous récupérez des données personnelles (que ce soit sur un simple blog, sur un site personnel où l’on peut mettre des commentaires ou sur un site marchand), vous êtes dans l’obligation de soumettre vos fichiers de données personnelles à la CNIL.
Par exemple, la simple présence d’une newsletter suffit à rendre obligatoire la déclaration à la CNIL.
Comment déclarer son site à la CNIL ?
Il suffit de vous rendre sur le site de la CNIL, de choisir une procédure normale ou simplifiée (suivant votre domaine d’activité et suivant les informations que vous récoltez).
Le déclarant doit être le propriétaire du site. Vous devez donc saisir votre N° SIREN ou SIRET et vos coordonnées postales. Vous devez également définir le but de la récolte des données. Il ne vous reste ensuite plus qu’à valider et envoyer votre déclaration. Vous allez recevoir par mail un récépissé de la CNIL ainsi qu’une copie de votre déclaration.
Deuxième chose le choix d’un DPO : le responsable de la gestion des données personnelles
Aujourd’hui le RGPD a rendu obligatoire le métier de DPO (Data Protection Officer) dans toutes les entreprises, quelle que soit leur taille, et administrations qui sont amenées à traiter des données à caractère personnels. Le DPO conseille et accompagne les organismes qui le désignent dans leur conformité. Si un jour vos données sont piratées, cette personne sera prévenue automatiquement.
Troisième chose : Le recueil des informations personnelles en toute légalité
Pour être en conformité avec cette nouvelle réglementation, vous devez :
-
- Demander l’approbation des personnes dont vous collectez et gérez les données.
-
- Proposer un droit d’accès, de rectification et d’oubli pour que celles-ci puissent contrôler leurs données.
-
- Prouver que vous collectez ces données dans un objectif précis, uniquement selon vos besoins.
Pour pouvoir remplir ces conditions, vous êtes donc obligés de :
-
- Tenir un registre des données personnelles récoltées. La durée d’archives peut être de 13 mois à 3 ans suivant le type de donnée.
-
- Recueillir le consentement des prospects avec un acte positif comme une case à cocher, par exemple
-
- Mettre à jour vos mentions légales et votre politique de confidentialité
-
-
