fbpx
Réponses aux questions fréquentes sur le RGPD

Réponses aux questions fréquentes sur le RGPD

Photo by Dan Gold on Unsplash

Le nouveau Réglement Général sur la Protection des Données Personnelles (RGPD) peut vous sembler compliqué et on vous comprend! Chez Marlie Digital, l'étude de cette nouvelle réglementation et de ses conséquences sur notre activité et celle de nos clients nous a bien occupé ces derniers temps.

Nous sommes très attachés à la confidentialité des données qui nous sont confiés et avons donc entamé notre propre démarche de mise ne conformité.

A la lecture des pénalités prévues en cas de non-conformité (jusqu’à 20 millions d’euros ou 4% de votre chiffre d’affaire international), il se pourrait bien que vous fassiez cette tête:

Rgpd FAQ

Pour vous aider à y voir plus clair, nous avons décidé de lancer une série d'articles, fruits de nos recherches et de nos apprentissages sur le RGPD. Ici nous répondons à 8 questions.

1 - Toutes les entreprises sont-elles concernées par le RGPD? Quelles sont les critères?

Le RGDP s’applique quand :

  •  une organisation (entreprise, association, organismes publiques, sous-traitants) traite des données personnelles
  • un résident de l’U.E est visé par un traitement de données personnelles

Le travail est différent selon la sensibilité des données, de leur volumétrie de l’impact du RGPD sur l’activité.

Par exemple un e-shop dédié aux articles de yoga comme Chin Mudra, qui traite un volume important de données, aura des problématiques plus importante sur la gestion, le suivi et l’organisation interne de ces données.

Alors qu’une start-up de santé, par exemple Rcup qui fabrique et commercialise des semelles 3D connectées pour réduire la fatigue et les blessures des travailleurs en milieu industriels, aura un plus gros travail de sécurisation des données.

Les collectivités locales et l’Etat sont-ils concernés par le RGPD et quelles sont les sanctions?

Oui, il n'y a pas d'exception! Pour tous, les sanctions qui s'appliquent vont jusqu’à 4% du CA mondial ou 20 millions d’euros (la somme la plus importante entre les deux est retenue). Il est donc urgent pour les collectivités locales de prendre en compte cettre réglementation RGPD.

qui est concerné par le RGPD?

2-  Quelles les données dites “sensibles” dans le cadre du RGPD?

Les données qui révèlent l’origine prétendument "raciale" ou "ethnique" des personnes, les opinions politiques, philosophiques ou religieuses ainsi que l’appartenance syndicale. S’ajoutent également les données concernant la santé ou l’orientation sexuelle, les données génétiques ou biométriques et enfin des données d’infraction ou de condamnation pénale.

Donc si votre activité est un site de rencontre pour yogis végétariens et militants écologistes, les données que vous collectées lors de l'inscription de vos membres et tout au long de leur utilisation de votre site sont réputées "sensibles".

donnees sensibles rgdp

3 - Mes sous-traitants sont ils impactés par le RGPD?

Oui, si votre site internet a été réalisé par un webmaster ou une agence de communication, elle doit:

  • vous informer et vous conseiller, car c'est vous le gestionnaire de votre site, i.e le responsable du traitement des données.
  • vous aider à respecter la nouvelle réglementation RGPD (attention, si votre site internet a été lancé avant le 25 mai 2018, la mise en conformité de votre site internet n'était pas incluse dans la prestation initiale et il est normal que votre webmaster vous facture des frais pour la mise aux nouvelles normes de votre site web, car elle génère un surcoût de travail de plusieurs heures pour lui).
  •  assurer la sécurisation des données qui leur sont confiées, en utilisant des lieux de stockages sécurisés, des mots de passe forts ou le cryptage des donnés.

4- Quel impact aura le RGPD sur le monde associatif?

Les règles à respecter sont les mêmes que pour les entreprises,

  •  il faut prévoir des mentions d’information : qui est derrière la collecte de données ? Combien de temps seront conservés les fichiers? Quelle est la finalité des données collectées? Comment les individus sur la manière peuvent-ils exercer leurs droits
  •  Tenir un registre des données : fichier adhérents, fichier clients, fichier salariés…
  •  Etre en mesure de répondre aux sollicitations des individus sur lequel on détient des données (droit d’accès, de modification, de suppression des données)
  • Prévoir une clause de protection des données dans le contrat passé avec les sous-traitants

5 - Si je ne suis pas une organisation mais que je collecte des données personnelles sur mon site, suis-je soumis au RGPD?

  • pour une activité personnelle : non, mais vous devez respecter l’article 9 du Code Civil (Chacun a droit au respect de sa vie privée.) Par exemple : si vous avez un blog qui présente vos recettes de smoothie detox (sans affiliation et sans pub).
  • pour une activité professionnelle, c.a.d si vous en tirer des revenus, par ex. avec des bannières publicitaires : oui. Mais c'est également le cas si vous donnez des conseils sur un blog professionnel.

6 - Le DPO (Délégué à la Protection des Données) est il réservé aux grandes entreprises?

Non. Toutes les organisations peuvent désigner un Délégué à la Protection des Données (chef d’orchestre de la protection des données). C’est obligatoire dans certains cas. Il doit :

  • informer l’organisation et ses employés
  • contrôler le respect du RGPD
  •  initier une étude d’impact sur l’organisation
  • coopérer avec la CNIL

Pour une petite structure, le DPO peut être externe.

le DPO est obligatoire pour:

  •  les organismes publics (ex: mairie)
  • les organisations avec des activités nécessitant la surveillance à grande échelle des personnes (ex: compagnie d’assurance, banque, entreprise de publicité ciblée sur internet)
  • les organismes dont les activités de bases les obligent à traiter à grande échelle des données sensibles (ex: hôpital, site de rencontres…)

7 - Comment faire en pratique pour rendre compte de sa conformité au RGPD

Il faut montrer les actions qui ont éte mises en place et à les rendre vérifiables. Je vous conseille de documenter en interne votre démarche.

Voici un rappel des actions à mener dans votre démarche vers la conformité RGPD

 Actions prioritaires pour la mise en conformité RGPD de votre site WordPress:

  •  mise en place d’une mention d’information : informer les personnes de la finalité des données collectées. Celle-ci doit apparaitre sur chacun de vos formulaire de collecte de données (newsletter, optin de lead magnet, e-shop, commentaires d'articles, avis etc.)
  • mise en place d'une déclaration de confidentialité : cette page permet aux individus de demander un accès à ses données personnelles.
  • mettre à jour votre politique de confidentialité, de cookies et vos C.G.U
  •  sécurité : mettre en place des mesures de sécurité adaptée à la sensibilité du fichier

Actions à mener dans un second temps :

  •  Analyse de votre système d'information: faire l’analyse de votre SI (pas que votre site internet) et de tous vos fichiers contenant des données personnelles
  • Notifiez à la CNIL des violations de donnés dont vs etes victimes (cf. procédure de notification à la CNIL)
  • Menez une étude d’impact: si vous traitez de données sensibles ou à risque ou que vous faites du tracking à grande échelle, afin d’anticiper et traiter les risques.
actions de mise en conformite RGPD de votre site WordPress

8 - Puis-je continuer à envoyer des newsletters à ma liste d'abonnés MailChimp?

Oui ... et non. Pour pouvoir continuer à envoyer une newsletter à vos abonnés, il faut que ceux-ci aient donné leur consentement librement et explicitement et que vous en ayez la preuve.

Ce qui signifie que vous devez les avoir obtenu sans case d'abonnement pré-cochée et qu'ils aient spécifié exactement ce à quoi ils ont consentis. Si ils ont consentis à recevoir votre guide de conseils gratuits pour faire une séance de méditation par le Son chez eux, cela ne signifie pas qu'ils sont aussi d'accord pour recevoir votre newsletter contenant vos offres de formation.

Ce que qui signifie concrètement que :

  • vous devez désormais leur demander précisément ce qu'ils acceptent de recevoir (avec un système de case à cocher à ajouter à vos formulaires). Par exemple : Ils devront accepter de façon différenciée si ils veulent recevoir vos conseils pour faire pousser un jardin sur son balcon, vos offres commerciales sur les kit de jardiniers urbains et/ou des offres de votre partenaire apiculteur urbain etc.
  • vous devez obtenir le re-consentement de vos abonnés inscrits sur vos listes avant le 25 mai 2018, si vous souhaitez pouvoir les recontacter. Si vous utilisez MailChimp, ceci peut être fait facilement. Vous risquez de perdre pas mal d'abonnés en route, mais vous n'avez pas d'autres choix que vous plier à la nouvelle règle et aux moins vous n'enverrez des messages qu'à des lecteurs heureux de vous lire !
reconsentement RGPD

Exigez de vos webmasters et webmarketers la mise en oeuvre de mesures de protection des données personnelles collectées par vos sites internet.

Nous pouvons vous accompagner dans la mise en conformité RGPD de votre site internet WordPress.

En tant qu'entreprise/association vous êtes vous aussi concernés par la mise en conformité RGPD de votre activité. 

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

For security, use of Google's reCAPTCHA service is required which is subject to the Google Privacy Policy and Terms of Use.

I agree to these terms.