Protection des données personnelles

Quelles sont mes obligations au sujet de la protection des données ?

min
15/07/2021
Nathalie AUTARD

Les entreprises et les particuliers échangent un nombre impressionnant de données au quotidien, qui n’a fait qu’augmenter avec l’avènement d’Internet. Or, toute entreprise qui recueille des données doit se soumettre à des obligations précises pour garantir la protection des données personnelles des utilisateurs. RGPD, registre obligatoire, gestion des cookies : on fait le point pour vous.

Un cadre légal au niveau européen : le RGPD 

 

Depuis 2018, la protection des données est encadrée par le RGPD ou Règlement européen sur la protection des données. L’objectif est double : renforcer le droit des personnes dont les données sont traitées, mais aussi responsabiliser les entreprises.

La principale notion à retenir, c’est celle du consentement. Au sein de l’Union Européenne, le consentement doit être explicite. Par exemple, si vous insérez un formulaire pour collecter des e-mails sur votre site, vous ne devez pas cocher par défaut les cases du type « j’accepte que mes données soient traitées ». L’utilisateur doit consentir de façon active et positive.

Le RGPD s’inscrit dans une logique de transparence. C’est pour cela que toutes les organisations qui utilisent des données personnelles doivent suivre de près leurs activités de traitement des données et en conserver une archive. Les consentements doivent également être conservés à titre de preuve. 

Attention : le RGPD s’applique aussi aux fichiers papier qui contiennent des données concernant des personnes physiques.

 

 

L’obligation de tenir un registre

 

 

Pour répondre à vos obligations de documentation et de transparence, vous devez mettre en place un registre des activités de traitement des données personnelles. Ce registre est obligatoire et sera réclamé par la CNIL (Commission Nationale de l'Informatique et des Libertés) en cas de contrôle.

Le registre remplit plusieurs fonctions. Il vous permet de :

  • Inventorier l’ensemble des fichiers de données personnelles (paie, clients, prospects…)
  • Identifier précisément les parties prenantes intervenant dans le traitement des données
  • Analyser les données traitées : à quoi servent-elles, qui peut y accéder, à qui sont-elles transmises, combien de temps sont-elles conservées…

En créant et en actualisant régulièrement le registre, vous pourrez faire le point et vous poser les bonnes questions. Avez-vous besoin de telle ou telle données ? Est-il pertinent de les conserver autant de temps ? Le niveau de sécurisation est-il suffisant ? 

N’hésitez pas à utiliser le modèle de registre simplifié mis à disposition par la CNIL.

 

 

 

Les données personnelles et les cookies 

 

 

À partir du moment où une information permet d’identifier quelqu’un, il s’agit d’une donnée personnelle : e-mail, nom, prénom, adresse, téléphone, etc.

De ce fait, la plupart des entreprises sont concernées par la gestion des données personnelles, qu’elles sont obligées de recueillir pour échanger avec leur personnel, leurs clients, leurs fournisseurs… 

Et avec le développement des sites Internet, il faut prendre en compte un autre élément : les cookies ou traceurs. Ce sont des petits fichiers informatiques, déposés et lus à chaque fois qu’un utilisateur consulte un site, installe un logiciel, utilise une application, lit un e-mail. Ils permettent ainsi de retracer l’ensemble des activités d’une personne, quel que soit le type d’appareil utilisé.

Il faut savoir que les cookies représentent l’un des moyens les plus courants de collecter des données personnelles sur Internet. C’est pourquoi leur gestion doit faire l’objet d’une attention particulière.

 

 

 

Comment gérer les cookies en toute conformité ?

 

La CNIL avait fixé une période d’adaptation pour permettre aux éditeurs de sites de se conformer aux règles en matière de cookies. Cette période de tolérance ayant pris fin au 31 mars 2021, vous devez vous assurer que votre gestion est conforme.

Le principe, c’est que le refus des cookies doit être aussi simple que l’acceptation. Voici les lignes directrices de la CNIL pour recueillir le consentement des utilisateurs en toute conformité :

  • Informer l’utilisateur sur l’existence et la finalité des cookies
  • Donner la possibilité à l’utilisateur de consentir de façon explicite : avec par exemple des cases à cocher (décochées par défaut)
  • Distinguer le consentement par finalité : l’utilisateur doit pouvoir choisir de façon indépendante et spécifique de consentir à chaque usage
  • Permettre à l’utilisateur de retirer son consentement à tout moment.

Concrètement, cela peut passer par l’insertion d’un bandeau ou d’une fenêtre pop-up, qui peuvent intégrer des liens hypertextes. En fonction de votre système de gestion de contenu, vous pourrez activer une extension qui propose ces fonctionnalités, à condition de bien vérifier les paramètres.

 

 

L’importance de sécuriser votre système d’informations

 

Le piratage des données personnelles peut avoir des conséquences dévastatrices pour les personnes concernées. La divulgation d’informations privées tout d’abord. Mais cela peut aussi conduire à des dommages matériels (cambriolage notamment). 

Il faut donc procéder à une analyse des risques en matière de sécurité informatique pour mettre en place les actions adaptées. Parmi les mesures basiques :

  • Définir et sécuriser les modalités d’accès aux données sensibles : avec des mots de passe régulièrement changés par exemple
  • Installer un antivirus et le mettre régulièrement à jour
  • Prévoir une procédure en cas de vol des données : la CNIL doit notamment être informée dans les 72 heures.

 

 

Pour bénéficier des conseils personnalisés de nos juristes à ce sujet, n’hésitez pas à nous contacter !



Nathalie AUTARD

Resp. Publication SEO

Domiciliez votre siège social à Paris en moins de 24 heures