Les données considérées comme personnelles sont nombreuses : nom, adresse, localisation, identifiant, date de naissance, IP…, autrement dit toutes les données qui permettent d’identifier une personne. Même si les données ne sont pas utilisées et traitées, à partir du moment où elles sont stockées au sein de l’entreprise, elles sont concernées par la réglementation.
Même chose en termes de forme : tous les fichiers, du tableur Excel aux bases de données de prospects, salariés ou visiteurs d’un site Internet ou d’une boutique physique, sont visés.
Se conformer au règlement en 3 étapes
Pour mettre en place une gouvernance des données personnelles, les entreprises doivent commencer par nommer une personne référente au sein de l’entreprise qui sera le pilote responsable de la mise en place des process et des outils. Si les entreprises n’ont pas l’obligation légale de nommer un DPO (Data Protection Officer ou Délégué à la Protection des Données), il est essentiel de désigner un porteur de projet sur le sujet.
Deuxième round, réaliser un audit, soit cartographier toutes les données personnelles et sensibles de l’entreprise, définir dans quels types de fichiers elles sont utilisées et comment elles sont gérées.
Enfin, pour chaque fichier identifié, l’entreprise doit passer au crible ses obligations et définir ses process et responsabilités pour s’assurer qu’elle est en conformité avec la loi. L’occasion de mettre en place plusieurs bonnes pratiques pour répondre aux nouvelles obligations liées à la RGPD, comme un process pour protéger les données dès leur conception – data protection de by design–, la vérification de la protection effective de ses données, l’élimination des données récoltées de façon illicite ou déloyale, la révision de ses procédures de consentement qui doit être clair et circonstancié.
Et si l’entreprise souhaite partager ses données personnelles avec ses partenaires, elle doit en préciser l’identité et la finalité du partage. C’est ce que l’on appelle la récolte opt-in. Enfin, avec la RGPD, les entreprises doivent être en mesure de respecter l’exercice du droit d’opposition, de rectification, d’accès direct, de portabilité et d’effacement des données.
- Les 10 étapes à respecter
- Doit-on créer une entreprise pour vendre en ligne ?
- Les déclarations obligatoires
- Comment déclarer son site à la CNIL ?
- Quel est le statut juridique le plus adapté ?
- En quoi consistent les CGV ?
- Comment rédiger des CGV ?
- Modèle de CGV
- L’acceptation des CGV
- Mentions obligatoires d’un site de e-commerce
- Mentions légales d’un site de e-commerce
- Désigner le médiateur de la consommation de son site
- Se faire payer par chèque : précautions
- Relance d’une facture impayée : mode d’emploi
- Fraude à la carte bancaire : qui est responsable ?
