Les données personnelles des utilisateurs de sites Web sont de plus en plus exploitées et échangées. La protection qui entoure ces données apparaît donc aujourd’hui comme une exigence prioritaire dans une société qui se digitalise un peu plus chaque jour.
Gestion et Comptabilité : Nos outils
- A qui s'applique le RGPD ?
- Définition d'une donnée personnelle
- Que veut-on dire par le terme "traitement des données personnelles" ?
- Conditions à respecter lors du traitement des données personnelles
- La procédure à respecter dans le traitement des données à caractère personnel
- Les obligations à respecter en matière de traitement de données personnelles
- Les sanctions
Les professionnels sont impérativement tenus de respecter la législation en vigueur concernant la protection des données personnelles.
Tout d’abord, sachez qu’une harmonisation européenne est en cours à compter du printemps 2018. À cette date, les entreprises devront toutes être en mesure de justifier d’un traitement parfaitement sécurisé des données à caractère personnel qu’elles exploitent.
Chaque entreprise est soumise à des règles imposées par le RGPD. Ces dernières sont destinées à protéger la vie privée et les libertés individuelles des personnes dont les données sont collectées.
Dressons ensemble un état des règles à connaître sur ce sujet.
Découvrez nos outils pour gérer votre entreprise !
A qui s’applique le RGPD ?
Tous les entreprises et organismes procédant à des traitement de données à caractère personnel sont tenus à le respecter. Il s’applique dès lors qu’un résident européen est sujet à une collecte et/ou un traitement de données, quelle que soit sa nationalité et l’implantation géographique de ces organismes.
Les personnes concernées par le RGPD sont les responsables de traitement et leurs sous-traitants (hébergeurs, agences de communication entre autres, intégrateurs de logiciels) :
- Etablis dans l’Union européenne, peu importe le lieu de traitement des données ;
- Etablis hors de l’Union européenne, en cas de traitement visant à fournir des biens/services à des résidents européens.
Ces responsables de traitement et sous-traitants sont tenus à respecter le RGPD même lorsqu’ils procèdent à un profilage. Ce dernier, selon la définition de l’article 4-4 du RGPD, est le traitement automatisé de données à caractère personnel à l’aide des intelligences artificielles afin de prédire les intérêts et le comportement de la personne visée.
Définition d’une donnée personnelle
Une donnée personnelle est toute information se rapportant à une personne physique, qu’elle soit directement ou non identifiée ou identifiable. Une personne est dite identifiable dès lors qu’un ou plusieurs éléments peuvent lui être rattachés.
Voici quelques exemples des données personnelles :
- Un nom ;
- Un prénom ;
- Un numéro de téléphone ;
- Un profil sur un réseau social ;
- Une adresse IP ;
- Une adresse électronique ;
- Un numéro de carte d’identité (ou de sécurité sociale).
Que veut-on dire par le terme “traitement des données personnelles” ?
Votre entreprise enregistre, organise, conserve, modifie, transmet, … etc ? Toute opération portant sur des données à caractère personnelle est considéré comme un traitement de données, peu importe le procédé utilisé.
On parle souvent de traitement informatisé de données personnelles. Or, il est totalement possible d’avoir un traitement de données à caractère personnel non informatisé. Ceci peut prendre la forme d’un fichier papier, des formulaires papiers, voire même des dossiers de candidatures qui sont classés par ordre alphabétique par exemple.
Conditions à respecter lors du traitement des données personnelles
Pour que le traitement soit valable et conforme au RGPD, il est important de respecter quelques conditions. En effet, les données personnelles doivent être :
- Collectées pour une ou plusieurs finalités précises (connues par le client) ;
- Exactes et à jour ;
- Pertinentes et limitées aux finalités du traitement ;
- Traitées de manière licite, loyale et transparente ;
- Conservées de façon temporaire et sécurisée.
La procédure à respecter dans le traitement des données à caractère personnel
Les professionnels qui collectent des données personnelles doivent strictement respecter les dispositions légales en la matière afin d’empêcher toute utilisation abusive. Les propriétaires des données personnelles sont donc protégés contre toute atteinte au respect de la vie privée.
Vérifier ce qu’est une donnée à caractère personnel
Toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres est une donnée personnelle.
S’assurer qu’il y a bien traitement sur les données à caractère personnel
La loi encadre :
- La collecte des données personnelles
- L’enregistrement des données personnelles
- L’organisation des données personnelles
- La conservation des données personnelles
- L’extraction des données personnelles
- L’utilisation des données personnelles
- La diffusion des données personnelles
- Le tri des données personnelles
Faire impérativement une déclaration CNIL en ligne
Dans tous les cas et quel que soit le traitement que vous faites, dès lors que vous collectez ne serait-ce qu’une seule donnée personnelle via votre site, vous devez vous déclarer auprès de la CNIL.
Les manquements à cette procédure peuvent avoir de lourdes conséquences !
Informer les utilisateurs “fichés” dans les conditions générales de vente ou d’utilisation (CGV/CGU)
Après avoir effectué votre déclaration CNIL, vous devez informer les personnes concernées dans vos CGV / CGU :
- L’identité du responsable du fichier ;
- La finalité du traitement de leurs données ;
- Le caractère obligatoire ou facultatif des réponses ;
- Les transmission des données ;
- Le droit d’accès, de rectification, d’interrogation et d’opposition ;
- L’utilisation des données de navigation (cookies).
Vous devez ensuite recueillir le consentement de la personne dont les données sont collectées.
A noter
Le recueil de consentement n’est pas toujours exigé. Ceci est le cas surtout lorsque le traitement des données personnelles est nécessaire à l’exécution du contrat, ou lorsqu’il est imposé par la loi.
Ensuite, vous devez apposer la mention suivante : « Conformément à la loi informatique et libertés du 6 janvier 1978, modifiée en 2004, vous bénéficiez d’un droit d’accès et de rectification aux informations qui vous concernent, que vous pouvez exercer en vous adressant à « indiquer le nom et les coordonnées du responsable du site à contacter ». Vous pouvez également, pour des motifs légitimes, vous opposer au traitement des données qui vous concernent. »
L’Internaute doit également pouvoir accéder aux informations personnelles le concernant et conservées par le site (généralement ses coordonnées bancaires et de résidence).
De la même façon, il doit pouvoir effectuer des modifications ou supprimer ce qu’il souhaite.
Les obligations à respecter en matière de traitement de données personnelles
La personne qui traite les données doit impérativement :
- Désigner un délégué à la protection des données (DPO) ;
- Recueillir l’accord préalable des clients ;
- Informer les clients de leurs droits d’accès, de rectification, d’opposition et de suppression des informations ;
- Assurer la confidentialité des données ;
- Veiller à la sécurité des systèmes d’information ;
- Indiquer la durée de conservation des données.
Les sanctions
Le défaut de déclaration à la CNIL est susceptible de faire l’objet d’amendes administratives qui peuvent atteindre 2% à 4% du chiffre d’affaires annuel mondial de l’exercice précédent et pénales en application des dispositions de l’article 226-16 du Code pénal.
« Le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu’aient été respectées les formalités préalables à leur mise en œuvre prévues par la loi est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende. »
Par Laurent Dufour, le 21/11/2023