Listes de noms, d’adresses postales ou e-mails…Dans l’exercice de votre activité vous accumulez des données personnelles relatives à vos clients. Vous avez l’obligation légale d’en assurer leur protection. Voici nos conseils pour comprendre le RGPD et l’appliquer au quotidien.
Informations en vigueur à la date de rédaction de cette page : 27 juillet 2020
Toutes les entreprises sont soumises au RGPD. Dans cette partie, nous vous aidons à y voir clair en mettant l’accent sur les points qui vous concernent.
Introduction au RGPD
Depuis le 25 mai 2018, la protection des données est stricte et harmonisée au niveau européen par le Règlement Général de Protection des Données (RGPD). Cette réglementation concerne toutes les données à caractère personnel, c’est-à-dire se rapportant à une personne physique identifiée ou identifiable, soit vos clients.
Les données concernées par le RGPD sont :
- Nom, prénom
- La localisation (ex. adresse)
- Un numéro d’identification (ex. n° client)
- Un identifiant en ligne (ex. login)
- Des photos ou vidéos de personnes
- Toutes descriptions d’une personne
- …
Dans le cas des entreprises, le RGPD ne s’applique qu’aux données du dirigeant car elles se réfèrent à la personne physique. Ainsi le nom, l’adresse, le numéro SIREN ou de TVA d’une entreprise ne sont pas concernés par le RGPD.
Note : Les données concernées sont donc celles que vous collectez dans le cadre de votre activité professionnelle mais aussi celles que vous manipulez si vous faites de la sous-traitance pour le compte d’un client, sur instruction et sous son autorité.
Vos obligations
D’après le RGPD, vous êtes responsable des données en votre possession. Vous devez donc vous assurer qu’elles ne fuitent pas ou qu’elles n’échappent à votre contrôle et/ou protection. Plusieurs éléments sont à mettre en place :
Dans votre gestion interne
Pour commencer, pensez à recueillir le consentement explicite de la personne concernée. Ensuite, faites l’inventaire des données personnelles en votre possession. Le but est d’en avoir le moins possible afin de limiter les risques. Pour chaque traitement que vous en faites, questionnez son utilité.
Après, classez les données par niveau d’importance/de risque si elles venaient à fuiter. Par exemple, une donnée bancaire est plus sensible qu’un lien de profil Linkedin.
Enfin, protégez vos données. Plusieurs mesures sont à mettre en place :
- Dès la conception de vos outils de travail, intégrez des accès par mots de passe, des firewall, des systèmes de cryptage…et autres solutions informatiques pour assurer la sécurité de vos données (et de votre travail aussi !).
- Si vous avez des collaborateurs, mettez en place des niveaux d’accès informatiques « donnée par donnée » pour restreindre la diffusion des données aux personnes nécessaires.
- Soumettez chaque personne qui entre en contact avec ces données personnelles à des obligations de confidentialité. Cela vaut surtout dans le cas où vous sollicitez des prestataires externes comme les plateformes en ligne (Slack, DropBox, GoogleDrive, QuickBooks…). Vous devez alors vous assurer de leur fiabilité en lisant leurs Conditions Générales dont vous ferez des copies (car elles peuvent faire l’objet de modifications !).
- Soyez vigilant dans toutes les manipulations de données personnelles que vous pouvez faire afin de minimiser les risques de fuites.
Après utilisation, archivez ou détruisez les données
À la fin de chaque prestation, restituez les données personnelles à votre client. Ainsi, et sauf obligation contractuelle ou légale, vous pouvez détruire vos copies existantes.
Pensez également à « faire le ménage » régulièrement dans vos données afin de ne garder que celles que vous utilisez.
Pour les données que vous devez conserver, la CNIL recommande de diviser le cycle de conservation en trois phases :
- La base active des donnée personnelles que vous utilisez au quotidien
- L’archivage intermédiaire à accès plus restreint
- L’archivage définitif pour les données que vous devez conserver ou la suppression des données désormais inutiles.
En cas de problème, ayez les bons réflexes
Si malgré vos précautions un incident de sécurité impactant vos données personnelles (piratage, vol…) arrive, vous avez l’obligation d’assistance, d’alerte et de conseil aux personnes touchées.
Dans un premier temps, notifiez la violation à la Commission Nationale Informatique & Libertés (CNIL) dans les 72 heures après la découverte de l’incident via un formulaire de notification des violations de données personnelles disponible sur leur site internet. Vous devrez renseigner la nature de la violation et le nombre approximatif de personnes concernées, décrire les conséquences probables et les mesures prises pour remédier à la violation ainsi que le nom et les coordonnées des personnes à contacter pour plus d’informations.
Dans les cas de violations qui peuvent porter atteinte aux personnes physiques (ex. usurpation d’identité, perte financière…), vous devez également alerter les personnes concernées dans les meilleurs délais.
Pour protéger vos données personnelles et celles de vos clients, compta 21 vous accompagne. Pour des conseils & des bonnes pratiques :
Cas particulier : les listes de contacts (e-mailings)
Une adresse e-mail est considérée comme une donnée personnelle, elle est donc soumise au RGPD.
Si vous utilisez une solution en ligne pour la gestion de vos campagnes marketing (ex. Mailjet, Sendinblue…), assurez-vous qu’elle respecte bien ces obligations.
Collecter le consentement
Pour collecter des adresses e-mail, dans le cadre d’une campagne marketing d’e-mailings par exemple, vous devez obtenir et conserver le consentement des personnes concernées (Article 4). C’est la procédure « opt-in » ou « double opt-in ». Elle compte deux étapes :
Pour obtenir le consentement, adressez un message clair et concis. Par exemple :
“Vous acceptez que [nom de votre organisation] collecte et utilise les données personnelles que vous venez de renseigner dans ce formulaire dans le but de vous envoyer des offres marketing personnalisées que vous avez acceptées de recevoir, en accord avec notre politique de protection des données [lien de votre politique]. Veuillez cocher les cases ci-dessous si vous acceptez de recevoir : [cases appropriées].”
(Source : mailjet.com)
Ensuite, pour que le consentement soit considéré comme explicite, faites le suivre d’un e-mail avec un lien de validation envoyé à l’adresse renseignée. L’adresse e-mail ne pourra être rajoutée que si l’internaute la valide. De plus, vous avez l’assurance que cette adresse e-mail fonctionne.
Note : un consentement n’est pas universel ! Si vous avez l’adresse mail d’un client, obtenue dans le cadre d’une mission, vous ne pouvez pas l’utiliser automatiquement dans vos campagnes marketing. Pour cela, il vous faudra lui redemander son consentement !
Permettre la désinscription
Vous avez également l’obligation de proposer à vos contacts une méthode simple pour qu’ils se retirent de vos listes ou modifient leurs données. C’est la procédure « opt-out ».
Par exemple : le bouton « se désabonner » à la fin de votre e-mail.
Gestion de la liste de contacts
Vous devez protéger la liste de contacts que vous avez collectée de la même manière que les autres données personnelles en votre possession.
De plus, nous vous conseillons d’être transparent avec vos clients sur votre gestion de leurs données personnelles. Cette démarche est un gage de confiance envers votre entreprise. Par exemple, pensez à rajouter une rubrique « Protection des données », accessible et compréhensible par tous, dans vos conditions générales de vente et sur votre site internet.
Prévoyez également une mention d’information sur chaque formulaire de collecte.
Pour en savoir plus, nous vous conseillons la lecture de la fiche pratique de la CNIL à ce sujet.