Avec le développement du web et de l’informatique, les fichiers se sont multipliés dans tous les types d’organisations. Sa déclaration auprès de la Commission nationale de l’informatique et des libertés a été obligatoire de la création de la CNIL jusqu’en 2018. Elle était en réalité dans l’extrême majorité des cas une simple formalité et ne présentait aucun intérêt particulier compte tenu du nombre pharaonique de fichiers déclarés. La quasi-totalité des formalités déclaratives auprès de la CNIL a été supprimée à l’entrée en application du Règlement européen sur la protection des données le 25 mai 2018. Aujourd’hui, la CNIL conserve son rôle d’autorité renforcé par l’harmonisation des législations européennes connue sous l’acronyme RGPD. Ceci étant, le traitement de données informatisées (fichiers et bases de données) et la prospection par voie électronique (emailing et SMS/MMS) sont règlementés depuis longtemps en France par : la loi informatique et liberté d’une part, la Loi sur la Confiance en l’Économie Numérique (LCEN) d’autre part. Ainsi, n’est pas nouvelle l’obligation de collecter le consentement préalable explicite du destinataire (optin) sauf si la personne est prospectée à titre professionnel pour un produit ou service en rapport avec sa profession (BtoB) ou si la personne est déjà cliente de l’entreprise.
Le règlement général sur la protection des données, communément appelé RGDP est applicable depuis 2018.
Il vise à renforcer les droits des personnes. Son application n’est pas encore spectaculaire, mais le volet sensibilisation a bien fonctionné. L’idée générale est une meilleure protection des mineurs, de la vie privée, un droit à l’oubli, un guichet unique pour simplifier l’application (autorité de protection des données de chaque pays) et le tout motivé par une menace de sanction très importante puisque l’entreprise qui ne respecte pas la loi risque une sanction s’élevant dans le cas le plus grave jusqu’à 4 % du chiffre d’affaires ou 20 millions d’euros d’amende. Le problème réside bien évidemment dans le « jusqu’à » et dans le « risque ».
Les obligations liées à la RGPD :
- Tenir un registre interne pour documenter le traitement des données que vous effectuez. Il vous permettra également de prouver votre conformité en cas de besoin.
- Améliorez vos pratiques, ne récoltez pas de données dont vous n’avez pas l’utilité, que seules les personnes habilitées peuvent y avoir accès, et que vous ne conservez pas des données plus longtemps que nécessaire.
- Soyez transparent : informez les personnes à chaque collecte d’informations. Expliquez-leur pourquoi vous avez besoin de ces données, qui y aura accès, combien de temps elles seront conservées, comment la personne peut faire exercer ses droits sur ces données…
- Désignez un Délégué à la Protection des Données (DPD, ou DPO). Sa mission : tenir son organisme informé de ses obligations et le conseiller dans l’application du RGPD.
- Assurez la sécurité et la confidentialité des données, en interne, mais également avec vos sous-traitants et partenaires.
- La problématique des données personnelles doit être intégrée dès la conception d’un système d’information. Elle doit également l’être dans le paramétrage par défaut de ces systèmes.
Laisser un commentaire