Qu'est-ce que la loi RGPD


(COUPELON) #1

Bonjour,

Je souhaiterais avoir de plus amples informations sur la loi RGPD.

Je fabrique et vend des bijoux ethniques haut de gamme et ma société est une sarl.

Nous avons un gros fichier qui regroupe toutes les adresses mails de nos clients et nous l’utilisons pour leur envoyer des invitations liées à nos offres commerciales.

Cette nouvelle loi va-t-elle nous empêcher dorénavant de procéder de la sorte ?

Je vous remercie à l’avance de toute l’attention que vous voudrez bien porter à ma demande.

Cordialement


(boiz) #2

Bonjour Coupelon,

La nouvelle réglementation ne va pas t’empêcher d’avoir un base de donnée client mais elle va profondément l’encadrer à l’échelle intra communautaire, y compris pour les entreprises étrangères implantées en Europe.
Les obligations sont notamment en amont (obtenir l’autorisation de tes contacts) et en aval (tenir des registres et justificatifs) et un pouvoir de sanction renforcé de la CNiL
Pour être moins policé, si tu es un petit entrepreneur, tu vas bosser beaucoup plus pour rien du tout. Enfin si tu as le temps de le mettre en place car je en sais pas où tu vas le trouver^^…et sans parler des éventuels coûts supplémentaires…
Car le gros hic de cette nouvelle réglementation est qu’elle s’applique à tous, même aux administrations (sauf le fisc je crois, tiens…bizarre…lol) mais des juristes qualifiés du forum pourront surement t’en dire plus

Pour t’aider voici 2 liens détaillés
https://www.cnil.fr/fr/reglement-europeen-sur-la-protection-des-donnees-ce-qui-change-pour-les-professionnels
et une vidéo bien expliquée

Bon lecture et surtout…bon courage


(Frédéric Libaud) #3

Bonjour,

Je rejoins les propos de @boiz, le RGPD encadre l’utilisation et plus particulièrement les traitements touchant aux données permettant d’identifier de manière directe ou indirecte une personne physique.

Le RGPD entre en vigueur le 25 mai prochain, autant dire que la date s’approche à grand pas. Et qu’il est difficile d’appréhender un tel sujet, car il implique pour être maîtrisé une double compétence juridique et numérique. Ce qui je tiens ici, à l’affirmer ne sera que trop rare. Pour les structures nécessitant entre autres la mise en place de prestation d’accompagnement, je préconise d’ailleurs d’employer un binôme de juristes et spécialistes du numérique.

Ceci étant dit, il vous faut connaître ou son vos données, comment elles sont constituées et définir celles qui sont impactés ou qui mérite d’être considérés comme telle.

Le site de la CNIL est une bonne base pour commencer à se documenter et la CPME diffuse depuis peu un guide sur le sujet disponible ici https://www.cpme.fr/economies/voir/2346/donnees-personnelles-preparez-l-application-du-rgpd. Ce guide a été réalisé avec la CNIL et cette dernière prépare un kit pour les petites structures, qui devrait être bientôt disponible.

Sachez en tout cas qu’aucune entreprise n’est exclue du règlement, toutes sont concernées. Ainsi, que les associations et collectivités. Naturellement les données des salariés et autres partenaires sont également à prendre en compte.

Le RGPD ne peut être mis en application sans avoir en parallèle une politique/stratégie en matière de cybersécurité, adapté naturellement aux enjeux et moyens de votre structure.


(COUPELON) #4

Merci beaucoup Boiz,
J’en ai déjà des sueurs …


(COUPELON) #5

Merci beaucoup Frédéric Libaud


(Karim) #6

Le RGPD est simplisime a mettre en œuvre dès lors qu’on ne fait pas du masse tracking ou qu’on ne collecte pas d’infos sensible telles que données biométriques ou médicales par ex.

Pour le 25 mai il faut:

  • expliquer ce qu’on va faire des données collectées : dans le bandeau cookies, CGU ou CGV par ex
  • mettre une page de contact permettant aux personnes de demander les infos dont vous disposez, pouvoir demander une modification ou une suppression.
    Ce que la loi obligeait déjà (par ex en bas des mailings avec le désabonnement).
    La seule différence est que maintenant ceci doit être fait dans les 30 jours ou 3 mois si vous tenez informé la personne de l’avancement du dossier.
  • demander l’accord pour traiter les données.
    Ce qui est deja obligatoire, case a cocher ou double optin pour mailing
  • s’assurer que les données collectées sont sécurisées. Si vous hébergez dans votre boite: firewall, politique de sécurité d’accès, audit sur accès (une case a cocher sur le partage Windows). Bref, on oblige les boîtes à vérifier leurs logs sécurité.
  • nommer un DPO

Dans un second temps, 1 ou 2 an de délai:

  • analyse du SI contenant les données concernées. En gros vous avez le plan d’accès et de sécurisation de vos serveurs (ca se fait en amont, en construisant son SI)
  • registre des traitements (comment vous traitez les données): vous avez les algos à disposition, sinon la CNiL fourni un modèle
    -clause de sous traitance: vous devez faire signer une lettre type, fourni par la cnil, a vos prestataires s’ils traitent les données ou gère les équipements ou sont les données
  • prévenir dans les 72 h en cas d’accès illégal (mais vu que vous surveillez vos logs, plus de pb)
  • analyse d’impact… qui ne concerne que ceux qui font du masse tracking ou qui collecte des infos sensible telles que données biométriques ou médicales par ex.

Pas la mer a boire.
Mais comme les GAFA et les spammeurs pris n’en faisaient qu’à leur tête, les députés européens en ont fait une loi avec amende à la clé.
Celui qui respectait deja la loi française, une des plus protectrices, n’a que peu de chose à faire.


(boiz) #7

Merci pour toute ces infos Karim :slight_smile:

politique de sécurité d’accès, audit sur accès
analyse du SI
analyse d’impact

simplisime

Pour un petit entrepreneur souvent seul, je vous garantie que ce n’est pas si simplissime question technique et surtout temps passé en plus de son travail déjà très prenant

DPO non obligatoire pour les petites structures je crois?


(Karim) #8

Vous n’allez pas passer de temps supplémentaires si vous êtes soloentrepreneur et SI comme je le pense vous ne collectez pas directement les données perso.
Quant au DPO, c’est nommer un contact cnil/responsable de la mise en œuvre du plan lié à la loi. De fait, vous êtes le DPO.

On peut regarder ca:
Quelle est votre activité (succinctement), comment récoltez vous des données personnelles, ou sont elles stockées et que faites vous avec?


(Frédéric Libaud) #9

Bonjour,

Attention aux incompréhensions et fausses informations :

  • le DPO est obligatoire pour les structures de plus de 250 salariés et les collectivités ;

  • Les structures de plus de 250 salariés doivent mettre en place plusieurs registres ;

  • Il y a obligation à obtenir le consentement dans de multiples cas et le RGPD concerne les données des clients, des prospects, des collaborateurs, des partenaires, … ;

  • Le RGPD concerne aussi bien les données numériques que celles sous format papier ;

De façon générale, le RGPD est floue quant à la qualification de la donnée entre activité B2C et B2B. Il vaut donc mieux partir sur une application générale de celui-ci.


(Vincent BILLETTE) #10

Allons, allons, je suis là, moi…

Cela étant je conseille à tous les petits entrepreneurs de bien réfléchir avant le mise en place d’un SI. Dans le cadre de la gestion d’une petite boîte qui travaille avec un nombre relativement limité de clients, les contraintes liées aux traitements automatisés peuvent faire perdre les avantages liés à ces derniers. Du coup, les traitements manuels ne doivent pas être définitivement écartés.

Cela étant ne pas oublier que même si vous vous en tenez à un traitement manuel vous pouvez être concerné par le RGPD !


(Karim) #11

Dans tous les cas dès lors que les données concernent une personne physique y compris en B2B
Sont exclus les personnes morales .
Pour être clair: jean.dupont@nomdesociete.com est concerné, contact@nomdesociete.com ne l’est pas.
Sauf si la personne est deja cliente de la société. Car son accord à deja été donné (donc on ne renouvelle pas à chaque fois la demande).

Mais ceci était deja obligatoire. Donc pas de changement.

Tout ce qui concerne le traitement de données personnelles. Mais c’était deja le cas auparavant.

À mon avis, les algo suffiront.
Je fais un parallèle avec le fisc dont les agents sont loin d’être des marrants (on vient de vivre un gros contrôle… boite 1milliard de CA): on avait aucun registre sur les traitements de TVA , en plus on ne faisait pas comme ils voulaient (on traite sur les vente et pas sur les achats… mais c’est légal suivant le code des impôts).
On leur a filer nos Algos de traitement et Ca a suffit.
SI on ne cache pas les choses et qu’on est en mesure de fournir la manière dont on traite les données, ca passe.
Sauf si l’on fait du masse Tracking ou SI l’on gère des données très sensibles (biométrique, médicale, etc)… Ca limite le type d’entreprise

L’article 37 du RGPD (DPO) ne fixe pas de nombre d’employés mais des raisons.
Dès lors que l’on fait du traitement de données, on est renvoyé à l’article 24…caractère personnel des données.
Je comprends, pour ma part, que SI l’on traite des données personnelles,on est concerné, peu importe la taille.
Et toujours d’après ce que j’ai compris, on ne fait pas une déclaration à la CNIL pour dire mon DPO c’est untel. C’est en cas de contrôle, on prévoit en interne qui est responsable et sera l’interlocuteur.

Mais bon, sans rentrer dans la loi, il n’y a rien de compliqué et aucun besoin de juriste.
La CNIL fournie une guideline qui, pour peu qu’on est été en règle, ne change pas beaucoup de chose avec ce qui existait.

La raison principale de cette loi est l’attitude des GAFA depuis 10 ans face à l’UE. Les pays membres en ont eu marre et on décidé, puisque Facebook, Uber, Google et cie se foutaient du monde, d’obliger les clients à se conformer à ce qui se faisait dans la plupart des pays européens.
La co responsabilité est le point fort de cette loi. Elle oblige le client à vérifier que le prestataire respecte la vie privée.
Pour ne pas perdre de clients, les géants américains devront se plier à la loi… ce qu’ils ont toujours refusé de faire.

Pour les entreprises de l’UE, normalement, elle la respecte. En France ce sont toutes les dispositions mises en place par la CNIL qui étaient suivies.
Pas de quoi fouetter un chat.

Ce qui est regrettable ce sont tous ces loufiats qui essayent de se placer pour vendre des prestations en utilisant la peur vis à vis de cette loi ou la communication a été mal faite.
Juristes et prestataires sont inutiles, la CNIL fournie gratuitement guides et docs types. Et comme je l’expliquais, SI jusqu’à présent on respectait la loi, il n’y a que quelques ajustements à faire.


(Karim) #12

Manuel ou auto, Ca ne change absolument rien.
Dès lors que l’on traite des données personnelles, on est concerné.

Et le traitement automatisé est un avantage indéniable pour supprimer les tâches à non valeur ajoutée.
SI c’est en interne, on sécurise les données.
SI c’est en externe, on s’assure que le prestataire sécurisent les données.

Mais c’était le cas avant cette loi. On avait obligation de sécuriser les données personnelles. Ce qui change, c’est le montant de l’amende.


(Frédéric Libaud) #13

Le SI c’est mon métier depuis plus de 20 ans… :wink:

Quand au RGPD je n’est pas la prétention d’en avoir une connaissance exhaustive, je pense cependant en comprendre déjà les enjeux. Et il ne faut pas tomber dans la schizophrénie toutefois.

En effet, le RGPD (article 15) précise que tout traitement concernant des données personnelles qu’ils soient numérique ou pas est concerné.


(Vincent BILLETTE) #14

Certes.

Mais les contraintes ne sont pas les mêmes dans les deux cas.

A titre d’exemple, l’existence ou non d’un traitement automatisé a une incidence évidente sur la nécessité de désigner un DPO. En l’absence de traitement automatisé, un traitement de masse des données devient irréalisable (sans bdd, euh…) et le DPO perd son caractère obligatoire.


(Frédéric Libaud) #15

La preuve du consentement doit pouvoir être fournit !

Le mieux est donc d’en faire la demande et comme les personnes ne jouent pas forcément le jeux, cela va nous compliquer les choses.

Il est certain qu’il y a un certain nombre de structures qui profitent de l’aubaine économique que représente le RGPD. Il ne faut toutefois, pas jeter la pierre aux professionnels qui font tout au mieux pour aider leurs clients, afin de se dépatouiller de tout ça.

La CNIL ne peut-être juge et partie, elle fournit quelques outils, mais l’expertises du professionnel est certainement le meilleur apport pour faire des choix stratégiques et tactiques.


(Vincent BILLETTE) #16

J’en suis dispensé. C’est bien foutu. :grin:

Non, les plus grosses contraintes pour moi sont le registre - il faut que je passe les pratiques du cabinet en revue pour savoir ce que je dois mettre dedans - la nécessité de modifier mes maquettes de conventions d’honoraires qui prévoyaient de façon expresse une garantie d’absence de fichage au sens de la loi de 1978 (et contrairement à ce que dit Aka474 il y a donc des différences car avant ont raisonnait en termes de fichage, désormais on raisonne en terme de données ; le champ d’application du RGPD est bien plus large que celui de la loi de 78) et l’articulation entre le RIN et le RGPD.


(Frédéric Libaud) #17

En effet, la mise en place des registres peut êtres problématiques. Et oui, il y a un changement de paradigme avec le RGPD quoique l’on en dise.


(Karim) #18

Une simple case à cocher, un double optin
C’était deja obligatoire pour être inscrit à une newsletter ou diffuser sa base a des partenaires. Une mention supplémentaire et c’est bon.

Elle ne l’est pas puisque c’est une loi.

Il faut se détendre, rien de bien méchant mais surtout il n’y a rien à vendre


(Karim) #19

Effectivement, par votre métier vous traitez des données dites sensibles.
On sera plus regardant et vos registres devront être millimétrés.
Mais pas que. La sécurisation de ces infos devra être vérifiée.
Mais combien sont concernés?

Ca ne sert à rien de crier au loup parce que quelques uns traitent ce genre de données. Vous n’êtes finalement que peu comparé au nombre total d’entreprise.

Voici la liste des données sensibles par la CNIL:
-Données révèlant l’origine raciale ou ethnique
-Données révèlant les opinions politiques
-Données révèlant les convictions religieuses ou philosophiques
-Données révèlant l’appartenance syndicale
-Données génétiques
-Données biométriques aux fins d’identifier une personne physique de manière unique
-Données concernant la santé
-Données concernant la vie sexuelle ou l’orientation sexuelle
-Données relatives à des condamnations pénales ou infractions
-Numéro d’identification national unique (NIR pour la France)

En plus en France, quelques unes de ces informations sont illégales. Donc on peut réduire la liste.

Ca concerne qui?
Le milieu médical, le milieu de la justice, l’état, et quelques milieux qui gravitent autour. Je mets de côté le masse tracking qui est l’apanage de très grosses entreprises (on ne va pas s’inquiéter pour eux).
Quant à la biométrie, pour pas s’embêter, les contrôles d’accès via ces procéder vont disparaître ( hors société ou la sécurité est importante: aéroport, en lien avec la sûreté, etc)


(Karim) #20

Pour la très grande majorité des entreprises, c’est aussi simple qu’expliqué dans ma 1ère intervention.


Proposé avec ❤️ par Pragmatic Entrepreneurs
Agence de conseil - Ajoutez du pragmatisme dans votre entreprise