02 03 02/03 2018

RGPD

Règlement sur la protection des données personnelles

1/1

En avril 2016 l’Union européenne a adopté un Règlement relatif à la protection des données personnelles. Les dispositions de ce Règlement entrent en vigueur le 25 mai 2018. Les données à caractère personnel concernées par cette réglementation sont autant celles des clients et des prospects que celles des salariés. Pour compléter ce Règlement, la France prévoit actuellement la révision de la Loi CNIL (pour avril 2018) et la publication de décrets sur les modalités d’application. Par exemple la déclaration des fichiers à la CNIL est susceptible d’évoluer.

En attendant l’entrée en vigueur du cadre réglementaire, le GNI vous recommande de commencer à cartographier vos données collectées.

Le renforcement des droits des individus

Les personnes dont les données ont été collectées ont le droit :

  • de rectifier leurs données si celles-ci sont inexactes,
  • de demander la suppression des données, si elles ne sont plus nécessaires à la finalité de la collecte,
  • de limiter le traitement des données,
  • de recevoir les données dans un format couramment utilisé et lisibles par machine,
  • de s’opposer à un traitement de données, notamment en cas de prospection ou de profilage (analyser ou prédire des préférences personnelles ou des intérêts).

Les obligations des entreprises

Envers les clients, les entreprises du secteur HCR doivent :

  • Communiquer sur les finalités de la collecte des données.

-> Les conditions générales de vente de l’établissement doivent expressément comporter un nouvel article sur la collecte des données et leurs différentes utilisations.

  • Obtenir le consentement des personnes dont les données sont collectées. Cela est notamment très fortement conseillé avant tout marketing direct envers les anciens clients.

-> L’établissement doit donc clairement faire cocher une case d’acceptation (case vide par défaut) pour chaque utilisation des données : envoie de mailing, profilage pour des offres personnalisées…

  • Donner aux clients accès à leurs données, notamment pour leur permettre de les envoyer à d’autres entreprises (Droit à la portabilité).

-> L’établissement doit donc permettre aux clients l’accès à leurs données et la possibilité de les modifier et d’en demander la suppression.

  • En cas de problème de sécurité des données représentent un risque élevé pour les droits et libertés des personnes, celles-ci doivent en être informées.
  • Supprimer les données des clients s’ils le demandent.
  • Permettre aux clients de s’opposer au traitement en vue de marketing direct.

-> L’établissement doit toujours permettre au client de se désabonner des mailings et SMSings marketing.

Concernant les risques relatifs à la collecte et au traitement des données personnelles, le Règlement exige que :

  • Les mesures de sécurité des données soient autant que possible mises en place dès la conception du système informatique et être activées par défaut.
  • Les entreprises procèdent à des évaluations du risque (faible, moyen, élevé) relatif à la collecte et au traitement de certaines données.
A noter que les entreprises du secteur HCR n’ayant pas le traitement des données comme cœur de métier ne sont pas tenues d’avoir un Délégué à la Protection des Données, sauf si le profilage des clients est utilisé pour diffuser des publicités ciblées. Néanmoins un consultant externe ou un salarié partagé est autorisé (Le GNI-Synhorcat possède un Groupement d’employeurs)

-> Les établissements faisant appel à des prestataires pour la collecte des données personnelles, doivent s’assurer auprès d’eux qu’ils respectent cette nouvelle Règlementation européenne et que les relations contractuelles les unissant précisent bien les responsabilités de chacun.

-> Les établissements possédant plus de 250 employés ont des contraintes supplémentaires telle la tenue d’un Registre de traitement des données comprenant :

  • Le nom et les coordonnées de l’entreprise,
  • Les raisons du traitement des données,
  • La description des catégories de personnes concernées et des données à caractère personnel,
  • Les catégories d’organisations recevant les données,
  • Le transfert des données vers un autre pays ou à destination d’autres organisations,
  • Les délais de suppression des données, si possible,
  • La description des mesures de sécurité utilisées pour le traitement, si possible.

La tenue d’un tel Registre peut également servir d’autoévaluation de la gestion des données à caractère personnel pour tous les autres établissements.

Les avantages

Les entreprises du HCR vont pouvoir tirer un avantage primordial de ce nouveau Règlement grâce au Droit sur la portabilité des données. En effet, les distributeurs qui collectent des données sans les rendre disponibles aux établissements du secteur HCR, pourront se voir demandés par les clients de transmettre directement et lisiblement ces données.

Les sanctions

Les sanctions pour non application de ce Règlement européen sont très lourdes pouvant atteindre 20000€ voire 4% du chiffre d’affaire mondial.

Information complémentaire : En 2017 la Commission européenne a rédigé une proposition pour un nouveau Règlement relatif au respect de la vie privée et à la protection des données personnelles dans les communications électroniques et abrogeant la Directive 2002/58/EC (directive vie privée et communications électroniques). Ce texte concernera les procédures de marketing direct en ligne. Le GNI surveille à travers l’association européenne HOTREC l’avancée des discussions sur ce texte. N’hésitez pas à suivre la rubrique Europe de notre site : https://www.synhorcat.com/europe-numerique/europe/