Protection : Articles de blog

Quel sanction en cas de non respect de la loi RGPD

le Samedi 1 août 2020 à 12:30

Quel que soit le statut de l’entreprise, lors de sa création, les règles en matière de protection des données formalisées par le RGPD se doivent d’être appliquées à la lettre, à défaut, de lourdes amendes sont possibles. Ainsi, le non-respect de l’une des nombreuses obligations définies par le règlement engage directement la responsabilité du dirigeant d’entreprise.

Le rôle de la CNIL

La Commission nationale de l’informatique et des libertés (CNIL) est l’autorité tutélaire en charge du bon respect du règlement. Dans ce sens, elle effectue des contrôles aléatoires et elle a le droit d’imposer des sanctions administratives en cas de non-respect des règles. À travers ce pouvoir de contrôle et de sanction, le CNIL n’a qu’une finalité : faire en sorte que les entreprises et les organismes se mettent en conformité vis-à-vis du règlement.

La non-conformité des règles et le principe de progressivité

La Commission peut sanctionner le manquement des règles, l’article 58 paragraphe 2 du règlement l’y autorise et détails les dispositifs applicables. La progressivité est la règle en cas de manquement avéré et les infractions sont sanctionnées graduellement selon le degré de la non-conformité.
Ainsi, la CNIL remet un avertissement en premier lieu si une infraction est constatée, celui-ci est accompagné d’un rappel du devoir de mise en conformité du règlement.
Si l’infraction est jugée plus grave, la CNIL fait une injonction de cesser la violation et si les faits sont suffisamment graves, elle peut suspendre temporairement le traitement des données de l’entreprise.
En dernier lieu, si les injonctions n’ont rien données, la CNIL peut émettre des amendes administratives en cas de fraude.

Les risques encourus

Les organismes privés comme publics risquent des amendes en cas de non-conformité. Les amendes peuvent facilement être difficiles à supporter pour les petites entreprises, car elles ont comme ambition d’être avant tout dissuasives. En plus des amendes administratives, les sociétés et leur dirigeant encourent un risque pénal qu’il ne faut pas négliger.

Les amendes administratives

Le règlement de protection des données a décrété deux types de peine.
La première concerne les dysfonctionnements importants en matière d’obligations, les amendes sont de 2 % du Chiffres d’affaires mondial de la société ou 10 millions d’euros d’amende.
La deuxième est relative aux fautes que la CNIL juge les plus importantes, l’amende peut aller ainsi jusqu’à 4 % du Chiffres d’affaires de l’entreprise ou 20 millions d’euros d’amende.

Manquement aux obligations et Code pénal

Le Code pénal est clair sur le sujet, si la CNIL constate que le traitement des données a été détourné de sa finalité première, non seulement l’entreprise viole le règlement et encoure de ce fait jusqu’à 5 ans d’emprisonnement et 300 000 euros d’amende.
Pour finir, si les risques encourus en cas de violation du règlement ne sont pas suffisamment dissuasifs, il faut savoir que les clients qui s’estiment léser par le traitement des données non-conforme ou qui sont victimes de cette non-conformité peuvent réclamer des dommages et intérêts. À condition que le client exerce son droit de recourir à la justice.


Comment respecter la loi de protection des données en 8 étapes

le Dimanche 26 juillet 2020 à 18:00
Comment respecter la loi de protection des données en 8 étapes ?
Le RGPD (registre général de la protection des données) est devenu obligatoire, depuis 2018, pour toutes les structures européennes qui collectent des données. Qu'est-ce que le RGPD et qui est concerné ? Comment respecter la loi de protection des données ? Voici une check-list en 8 étapes.

RGPD : c'est quoi ?

Le registre général de la protection des données, nommé RGPD, est un texte réglementaire européen, paru le 25 mai 2018, faisant suite à la loi française Informatique et libertés de 1978. Il a pour but de renforcer la protection des données collectées afin de mieux respecter les droits de la personne. Ces données peuvent être :
  • des renseignements personnels : des noms, prénoms, dates de naissance, adresses, e-mails, sites web ;
  • des renseignements indirects : des numéros d'allocataire, d'assurance, de dossiers, de sécurité sociale.

À qui s'adresse le RGPD ?

Le RGPD est obligatoire pour les structures publiques ou privées européennes qui collectent des données, tous secteurs d'activité confondus. Il en va de même pour toute structure dont les clients sont européens. Il n'est pas nécessaire d'avoir un site internet pour devoir y être confronté, en effet, à partir du moment ou vous écrivez même sur un papier libre, un nom et prénom d'une personne vous êtes soumis à la création d'un registre.

8 étapes à suivre pour bien respecter la protection des données

1. Cataloguez tous vos fichiers

Que vous soyez un professionnel indépendant, un organisme ou une entreprise, vous avez créé plusieurs fichiers qui sont nécessaires au fonctionnement de votre activité. Regroupez-les par catégorie et faites-en l'inventaire dans un premier temps. Ils peuvent se présenter sous forme numérique ou papier. Voici des exemples de fichiers que l'on peut trouver dans les entreprises ou organismes :
 
  • clients ;
  • fournisseurs ;
  • sous-traitants ;
  • administrés ;
  • patients ;
  • élèves ;
  • stagiaires ;
  • allocataires ;
  • assurés.

2. Justifiez la collecte de ces données

Une fois l'inventaire de tous vos fichiers sous les yeux, déterminez leur finalité, la durée nécessaire de l'archivage, dans quelle catégorie ils se situent. Contactez aussi tous vos sous-traitants pour voir s'ils respectent eux aussi le RGPD. Bien que ce soit un travail long et fastidieux, vous verrez que vous allez gagner du temps par la suite.

3. Constituez un registre de collecte des données

L'importance de ce registre est de justifier la finalité de la collecte des données personnelles. Posez-vous les bonnes questions pour savoir si vous avez vraiment besoin de toutes les informations récoltées. L'inventaire des fichiers vous permettra de répondre à des questions telles que :
  • Quelles sont les catégories de données ?
  • À quoi me servent les données collectées ?
  • Quelles sont les informations inutiles ?
  • Quelles sont les informations utiles ?
  • Quelle est la finalité ?
  • Qui a accès à ces données et pourquoi ?
  • Combien de temps dois-je les conserver ?
Par exemple, si vous travaillez pour un cabinet médical, vous aurez besoin de l'identité du patient ainsi que du numéro de sécurité sociale afin d'établir le suivi médical et administratif. En revanche, si vous êtes coiffeur, un simple nom avec la prestation effectuée et la date suffiront. Vous pouvez demander aussi le numéro de téléphone et l'adresse mail du client, s'il est d'accord, afin de lui envoyer des offres, par exemple.

4. Mettez en conformité vos mentions légales

Il est important et obligatoire de rédiger vos mentions légales pour informer les personnes sur la loi RGPD entrée en vigueur en 2018. Vous pouvez trouver des modèles de mentions d'information auprès de la CNIL (commission nationale de l'informatique et des libertés) qui est une autorité administrative française indépendante. Elle veille au respect des libertés individuelles ou publiques, entre autres.

5. Demandez l'accord aux personnes pour la collecte de leurs données

En effet, la loi RGPD de mai 2018 exige que toute structure demande l'accord aux personnes physiques de collecter leurs données personnelles, en justifiant leur finalité. Le consentement de la personne physique peut être exprimé à l'oral ou à l'écrit. La CNIL conseille de faire apparaître sur votre site professionnel, un bandeau informatif sur la loi de protection des données en mentionnant la possibilité de s'opposer à la collecte de ses données, sans préjudice. Et si la personne accepte la collecte de ses données, sachez que ce consentement ne fait pas office de démarchage commercial ni de cadeau en tout genre.

6. Nommez un délégué de la protection des données

Aussi appelé DPO (Data Protection Officer), le délégué de la protection des données supervise la mise en conformité au RGPD dans la structure. Il est l'intermédiaire entre la structure et la CNIL. Il contrôle le respect de la loi et rend des comptes. Les organismes publics ainsi que les secteurs d'activité qui traitent des données à grande échelle ou sensibles, notamment dans le secteur pénal et judiciaire, ont l'obligation de nommer leur DPO. Les autres entreprises ou organismes privés ne sont pas contraints d'en nommer un. Cependant, la CNIL conseille fortement à toutes les structures privées quelles qu'elles soient de désigner son délégué à la protection des données afin de mieux respecter cette loi européenne.

7. Pensez à sécuriser vos données

Vous êtes responsable des données que vous collectez et vous devez tout mettre en œuvre afin de les protéger. Pour cela, veillez à renforcer la sécurité de vos fichiers. Voici plusieurs astuces afin de sécuriser au mieux vos données :
  • changez de temps en temps d'anti-virus ;
  • modifiez régulièrement vos mots de passe ;
  • utilisez le chiffrement des données dites sensibles ;
  • n'exposez pas à la vue les données ;
  • changez parfois les serrures des portes d'entrée, des bureaux ou des placards.

8. Anticipez et appliquez les procédures nécessaires à toute situation

Anticiper, analyser et justifier, sont les trois verbes à retenir. Pour palier à toute situation possible, vous devez connaître les procédures à suivre. Pour cela, la CNIL a tout prévu. Voici quelques situations dont vous pourriez faire face :
  • Une personne souhaite s'opposer au traitement des données : c'est le droit d'opposition au traitement et le droit à la limitation du traitement des données.
  • Une personne souhaite supprimer ses données : c'est le droit à l'oubli.
  • Une personne souhaite récupérer ses données : c'est le droit à la portabilité.
  • Enfin, en cas de fuite de données, contactez vite la CNIL. Le délai maximum pour le déclarer est de 72 heures.
En bref, la collecte des données doit être effectuée avec précaution et dans le respect des droits de chaque individu. Il est conseillé, pour toute structure, de nommer un délégué au contrôle du respect de la loi de protection des données. Il fera le lien entre l'entreprise et la CNIL qui s'inscrit dans une démarche d'information et d'accompagnement pour la mise en conformité au RGPD. Vous avez, à présent, toutes les cartes en main pour respecter la loi de protection des données en toute sérénité !

Qu'est ce qu'une donnée personnelle ?

le Jeudi 2 juillet 2020 à 17:00

Avec la multiplicité des moyens de communication numérique, nos données personnelles sont facilement accessibles et transmissibles. Mais la question de leur exploitation et de leur stockage par des organismes est bien encadrée par la loi. Cependant, le tout est de savoir ce que c’est qu’une donnée personnelle.

Qu'est-ce qu'une donnée personnelle ?

Au sens de la loi, une donnée jugée personnelle est toute information ayant rapport à une personne physique identifiée ou pouvant l’être, de façon directe ou indirecte, en se référant à un numéro d’identification ou à divers renseignements dont elle détient l’unique propriété.
Par cette définition, les données personnelles concernent donc des informations telles qu’un nom, un numéro d’identité nationale, une photographie, une empreinte digitale, une adresse IP, un numéro d’immatriculation ou de téléphone, un mot de passe ou un identifiant de connexion internet…

En résumé, tout un ensemble d’informations disponibles sur un fichier et permettant d’identifier une personne au sein d’une population. Peu importe que ces données soient publiques ou confidentielles.

La loi française informatique et liberté

De nos jours, les technologies de l’informatíon et de la communication génèrent un nombre incalculable de données personnelles. La seule connexion Internet laisse des “empreintes informatiques” qui peuvent par la suite être exploitées par des logiciels de traitement de données. Le but de la législation est de savoir sous quelles conditions vont être collectées et utilisées ces informations.

Notez qu’à partir du moment où une structure organisationnelle traite à titre professionnel des données à caractère personnel, la "loi informatique et libertés" lui est automatiquement appliquée. Elle doit, sous peine de poursuites pénales, déclarer ses traitements à la CNIL et mettre en place toutes les mesures de sécurité nécessaires pour protéger ces données. L’exploitation faite devra être légale, loyale et pertinente sans possibilité de transfert des informations hors des pays de l’Union Européenne.

L’enjeu de la protection des données personnelles

Le Règlement Général sur la Protection des Données (RGPD) répond aux évolutions technologiques de nos sociétés, en venant s’inscrire dans la continuité de la Loi "Informatique et Libertés". En ce sens, le RGPD est clair : toute exploitation de données personnelles doit avoir un objectif clairement défini, servir à un but bien précis, en accord avec l’activité professionnelle de l’entreprise qui la réalise.

En savoir plus


Artisans, commerçants : comment respecter le RGPD ?

le Mardi 28 avril 2020 à 12:00

Depuis le 25 mai 2018, le Règlement général sur la protection des données personnelles (RGPD) est entré en vigueur. Ce ne sont pas seulement les grands groupes qui sont concernés mais bien l’ensemble des entreprises qui traitent des données personnelles. Artisans, commerçants : découvrez les points essentiels à connaître pour être en règle.

Le RGPD, c’est quoi ?

Le RGPD, c’est le Règlement Général sur la Protection des Données personnelles. Il est entré en vigueur en 2018 dans le but d’harmoniser le régime juridique européen. Il remplace une directive de 1995 : l’évolution de ces dernières décennies a fortement influencé notre accès aux données personnelles, une mise à jour était nécessaire.

C’est un texte qui a pour objectif de renforcer les droits des individus sur leurs données. Pour cela, il prévoit que chaque acteur traitant des données personnelles (donc potentiellement : vous) se responsabilise. Le RGPD permet donc de protéger les individus contre le traitement abusif de leurs informations personnelles, mais aussi contre le vol de données et les piratages.

Comment traiter les données personnelles de mes clients ?

En tant qu’artisan ou commerçant, vous avez probablement accès aux données personnelles de vos clients ou prospects. Une donnée personnelle, c’est une « information permettant de reconnaître ou d’identifier une personne, directement ou indirectement ». Donc si vous disposez d’un fichier comportant des noms, des adresses postales, des adresses mails, des numéros de téléphone… Il s’agit bien de données personnelles.

Peu importe le nombre de données personnelles auquel vous avez accès : le RGPD concerne tout le monde et pas uniquement les grandes entreprises. Quel que soit votre secteur d’activité, votre nombre d’employés ou votre chiffre d’affaires, vous devez vous conformer au règlement.

Le RGPD prévoit que la personne dont vous obtenez les données soit mieux protégée. Ainsi, vous avez un devoir de transparence sur votre manière de collecter et de traiter les données, vous devez traiter ces dernières de manière responsable et vous conformer au cadre légal concernant leur transfert.

Comment respecter le RGPD : notre guide pour les artisans et commerçants

Un non-respect du Règlement Général sur la Protection des Données personnelles peut entraîner des sanctions financières. La CNIL effectue des contrôles auprès de tout organisme traitant des données personnelles : ne prenez pas de risques inutiles.

Vous trouvez qu’il est difficile d’y voir clair sur ce qu’est concrètement ce règlement et ce que vous avez à faire en tant qu’artisan ou commerçant pour vous conformer au RGPD ? Nous vous proposons un livre blanc contenant les 6 principes fondamentaux du RGPD pour les artisans et commerçants. Ce guide pédagogique vous permettra, en tant que petite entreprise, d’appréhender ses avantages, ses contraintes, et tout ce qu’il faut savoir pour être conforme au RGPD.

DonnéesProtectionartisanscommerçants

Catégories d'articles