Pour commencer, une petite définition
Pour bien commencer cette article et savoir de quoi je veux vous parler, voici une petite définition de ce qu’est le
Réglement Général sur la Protection des Données
En parlant de données, il est sous-entendu les données personnelles au sens large. C’est à dire toute information se rapportant à une personne physique identifiée ou identifiable, par une donnée directe (nom, prénom…) ou indirecte (mail, numéro de téléphone, image…).
Le RGPD encadre donc la manière de récoltes de ses informations, les conditions, mais aussi leurs traitements par la suite.
Qui est concerné par le RGPD?
Le RGPD concerne tout le monde. Pour être plus précise, tout organisme/personne qui traite des données personnelles pour son compte ou non du moment qu’il se trouve sur le territoire de l’Union Européenne ou que son activité cible directement des résidents européens.

Deux exemples
La newsletter

Pour pouvoir envoyer une newsletter, il faut avoir des adresses mails. Et pour récupérer ses adresses mails, Il y a plusieurs moyens.
Le plus courant est la mise en place d’un outils de récupération de mail sur son site internet. Vous en avait un exemple dans les pieds de pages de ce site internet.
Dans ce cas là, il est obligatoire de préciser à la personne qui s’inscrit comment son adresse mail va être utilisé, c’est-à-dire uniquement pour l’envoi de newsletter. On peut l’écrire en toutes lettres, mettre une case à cocher ou à décocher…
Une fois validé, la liste dans laquelle la donnée sera stockée ne devra servir qu’à l’envoi de newsletter. Vous ne pourrez pas, par exemple, envoyer des mails uniquement pour vendre vos produits.
Une formation

Pour la vente en ligne d’une formation, vous demandez des renseignements à votre clients afin de pouvoir lui fournir le produit (nom, prénom, adresse mail…).
Lors de l’inscription, là aussi vous devrez préciser exactement à quoi les informations qui seront renseignées vont servir.
La personne qui s’inscrit à votre formation ne s’attends pas forcément à recevoir votre newsletter. Vous ne pouvez donc pas récupérer ces mails pour des utilisations autres que ce pourquoi ils ont été saisi. Là aussi, une liste particulière devra être créée uniquement pour la formation.
Par contre, rien ne vous empêche de mettre des cases à cocher ou à décocher proposant l’inscription à la newsletter ou à des mails promotionnels.
Ce qui est à mettre en place pour être conforme avec le RGPD
Sur le site de la CNIL (Commission Nationale de l’Informatique et des Libertés) vous pouvez retrouver plusieurs outils pour vous aider. Mais vous pouvez également y retrouver les 6 bons réflexes à avoir pour une bonne gestion de ces données et être conforme au niveau RGPD.
Les voici:
- ne collectez que les données vraiment nécessaires pour atteindre votre objectif
Les données sont collectées pour un but bien déterminé et légitime et ne sont pas traitées ultérieurement de façon incompatible avec cet objectif initial.
Le principe de finalité limite la manière dont vous pourrez utiliser ou réutiliser ces données dans le futur et évite la collecte de données « au cas où ».
Le principe de minimisation limite la collecte aux seules données strictement nécessaires à la réalisation de votre objectif.
- soyez transparent
Les administrés doivent conserver la maîtrise des données qui les concernent. Cela suppose qu’ils soient clairement informés de l’utilisation qui sera faite de leurs données dès leur collecte.
Les données ne peuvent en aucun cas être collectées à leur insu. Les personnes doivent également être informées de leurs droits et des modalités d’exercice de ces droits.
- organisez et facilitez l’exercice des droits des administrés
Vous devez organiser des modalités permettant aux administrés d’exercer leurs droits et répondre dans les meilleurs délais à ces demandes de consultation ou d’accès, de rectification ou de suppression des données, voire d’opposition, sauf si le traitement répond à une obligation légale (par exemple, un administré ne peut s’opposer à figurer dans un fichier d’état civil). Ces droits doivent pouvoir s’exercer par voie électronique à partir d’une adresse dédiée.
- fixez des durées de conservation
Vous ne pouvez pas conserver les données indéfiniment.
Elles ne sont conservées en « base active », c’est-à dire la gestion courante, que le temps strictement nécessaire à la réalisation de l’objectif poursuivi.
Elles doivent être par la suite détruites, anonymisées ou archivées dans le respect des obligations légales applicables en matière de conservation des archives publiques.
- sécurisez les données et identifiez les risques
Vous devez prendre toutes les mesures utiles pour garantir la sécurité des données : sécurité physique ou sécurité informatique, sécurisation des locaux, armoires et postes de travail, gestion stricte des habilitations et droits d’accès informatiques.
Cela consiste aussi à s’assurer que seuls les tiers autorisés par des textes ont accès aux données.
Ces mesures sont adaptées en fonction de la sensibilité des données ou des risques qui peuvent peser sur les personnes en cas d’incident de sécurité.
- inscrivez la mise en conformité dans une démarche continue
La conformité n’est pas gravée dans le marbre et figée.
Elle dépend du bon respect au quotidien par les agents, à tous les niveaux, des principes et mesures mis en oeuvre. Vérifiez régulièrement que les traitements n’ont pas évolué, que les procédures et les mesures de sécurité mises en place sont bien respectées et adaptez-les si besoin.
Comment je peux vous aider
Lors de la création de votre site internet, je me charge de la rédaction de la page concernant le RGPD.
Pour les newsletters, je mets en place l’information concernant l’utilisation de la donnée collecté. Et surtout, je donne la possibilité aux personnes qui s’inscrivent de changer d’avis.
Plus d’informations sur le site de la CNIL.

0 commentaires