RGPD à La Réunion : quelles sont mes obligations ?

4 avril 2018 par Pierre-Charles Juhel | Expert invité

Le règlement général sur la protection des données, plus connu sous son acronyme, RGPD (en anglais : General Data Protection Regulation, GDPR), constitue le texte de référence européen en matière de protection des données personnelles. Ses dispositions seront directement applicables dans l'ensemble des 28 États membres de l'Union européenne et donc à La Réunion, à compter du 25 mai 2018. Les équipes commerciales et marketing sont en première ligne étant donné que ce sont elles qui collectent et exploitent la grande majorité des données personnelles des utilisateurs pour la mise en place de leurs campagnes ou relances. Dans cet article, nous listons les obligations des entreprises en matière de RGDP à La Réunion.

1. Les principales obligations issues du RGPD

obligations-rgpd-obligations

Les données stockées et recueillies sont limitées à ce qui est strictement nécessaire. Elles doivent (c’est une obligation) en outre respecter :

  • le droit d’accès : la société doit fournir un accès complet aux données détenues sur un individu si l’individu en fait la demande.
  • le droit d’information : l’internaute doit pouvoir s’informer facilement sur la façon dont les données sont collectées et utilisées.
  • le droit de portabilité des données ou donner la possibilité aux internautes de récupérer ses données personnelles dans un format facilement exploitable.
  • le droit à la rectification : si un utilisateur en fait la demande, la société doit pouvoir modifier ou supprimer ses données personnelles.
  • le droit à l’oubli
  • l’obligation de réaliser des analyses d’impacts pour adapter les mesures de sécurité au risque.
  • la mise en place de procédures internes et process qualité permettant de prouver que vous êtes en conformité au RGPD.
  • l’obligation pour les éditeurs de logiciel ou concepteur de site Web de fournir des outils permettant de respecter les règles d’or en matière de protection des DCP, privacy by design ou by default, …
  • la tenue à jour d'un registre des données, traitements et consentements des utilisateurs.

 

2. La tenue d’un registre de données

obligations-rgpd-registre

Le RGPD n’est pas foncièrement différent des obligations légales (CNIL) auxquelles sont déjà tenues les entreprises françaises avec la loi “Informatique et Libertés”, car les contraintes et sanctions sont similaires à celles du RGPD.

Ce qui change, par contre, c’est que désormais les

entreprises devront rendre des comptes.

Toutes les entreprises de l’Union Européenne ou qui traitent des données d’utilisateurs résidant dans l’UE devront cartographier toutes les données et leur traitement.

Celles-ci devront pouvoir présenter :

  • les finalités du traitement des données
  • les mesures de sécurité techniques et organisationnelles
  • les catégories de données personnelles concernées et les données sensibles si besoin
  • les délais d’effacement des données
  • le lieu où les données sont hébergées
  • les destinataires de ces données (au sein et hors de l’UE)
  • les preuves de consentement des propriétaires des données.
Vous pouvez télécharger un modèle de registre RGPD sur le site de la CNIL.

 

3. Le consentement explicite : exit les spams et autres pourriels !

obligations-rgpd-stop-spam

A partir du 25 mai 2018, les entreprises devront obtenir le consentement explicite des internautes afin de pouvoir collecter et traiter leurs données personnelles.

La fête est finie concernant les loueurs de base de données pas franchement regardant sur la provenance des emails ou numéros de téléphones. L’ère de l’ ”opt-in” avec case précochée en bas des formulaires est révolue, et cette pratique sera maintenant sanctionnable. L’utilisation du double opt-in le remplace désormais. Cette méthode consiste à obtenir deux fois le consentement de l’internaute avant de l’inscrire dans vos listes marketing :

  • le premier consentement : lorsqu’il coche la case en bas du formulaire.
  • le deuxième consentement : l’utilisateur reçoit un email de confirmation dans lequel il réitère son consentement (en cliquant sur un lien de confirmation).

Cette bonne pratique en matière de consentement ne sera complète que si les entreprises peuvent conserver les preuves de consentement de l’internaute.

  • ces preuves pourront être transmises au consommateur ou à la CNIL si ceux-ci en font la demande.
  • ces preuves de double action requise de la part de l’internaute lèvera de plus tout doute sur la volonté d’inscription des internautes.

 

4 - Quid des données existantes ?

obligations-rgpd-donnees-existantes

Ce Règlement concerne l’ensemble des données de votre entreprise, et pas seulement celles collectées après le 25 mai 2018 (date d’entrée en application du RGPD). 

Les équipes marketing et équipes techniques vont donc devoir obtenir le consentement des utilisateurs en base, via par exemple des campagnes d’opt-in (pour confirmer la volonté de continuer de recevoir des communications électroniques.

Un ménage est donc à prévoir dans vos bases de données, dont le CRM et le nombre d’inscrits (actifs) risque de chuter. Mais c’est également une belle opportunité de reprendre contact avec vos clients et de montrer que vous vous souciez de leurs données. Un gage de professionnalisme assurément.

 

5 - Achat et échange de liste de contacts

obligations-rgpd-echange-liste-contacts

Etant donné qu’il vous sera impossible de prouver que la totalité des internautes présents dans les listes que vous avez achetées ou louées ont réellement consenti à recevoir vos communications, nous vous conseillons fortement de soit éviter d’y avoir recours, soit de mener une campagne de recueil de consentement.

Les peines sont lourdes en regard du gain potentiel (quelques dizaines de clics ne valent pas une amende de 4% de votre Chiffre d’Affaires).

 

6 - Les process à mettre en place (source : CNIL)

obligations-rgpd-obligations-liste

Afin de prouver la conformité des actions de votre entreprise en cas de contrôle, vous devez pouvoir prouver :

  • La provenance du contact : par quel moyen avez-vous acquis ces nouveaux contacts dans votre base de données (visible pour TOUS les contacts et TOUTES les bases de données) ?
  • Exportation des données : le délégué à la protection des données (le data protection officer ou DPO), c’est à dire la personne que vous avez nommée pour s’assurer que vous respectez la législation, aussi bien en interne qu’en externe , doit être capable d’exporter toutes les données en cas de contrôle ou sous la demande explicite d’un client (sous un format consultable électroniquement).
  • Mentions légales : les mentions légales doivent être réécrites afin de les rendre conformes avec les nouvelles exigences de la RGPD : les internautes doivent pouvoir les consulter et comprendre explicitement la finalité des données collectées.
  • Formulaires : ils doivent comporter des cases à cocher mentionnant clairement l’accord de l’internaute pour rentrer dans la base de données de l’entreprise. Celui-ci doit exprimer son consentement pour chaque option présentée : prise de contact, emails...
  • Suppression de données : si votre base contient des contacts inactifs depuis plus de 3 ans, il faudra mettre en place des procédures pour automatiser la suppression de leurs informations personnelles.
  • Cookies explicites : Les bandeaux “pop-up” qui indiquent la présence d’un système de collecte de cookies doivent évoluer : il est désormais nécessaire de présenter leur durée de vie (13 mois au maximum) et de recueillir une nouvelle fois le consentement de l’utilisateur lorsque le délai est passé.

 


A compter du 25 mai 2018, la mise en place du RGPD concernera donc également les entreprises de la Réunion. Afin de ne pas se laisser dépasser à la date fatidique, il convient de se faire accompagner en amont et d’anticiper.

Afin de recevoir d'autres articles à ce sujet, n'hésitez pas à vous abonner à notre blog.

Je m'abonne au blog pour recevoir les futurs articles

 

Pierre-Charles Juhel | Expert invité

Diplômé de l’Université de Saint-Quentin-en-Yvelines (Master 2 Professionnel Droit des NTIC, Mémoire sur l’administration électronique et les données à caractère personnel) et et de l’Université de Paris I Panthéon-Sorbonne (Master 2 Professionnel Droit de l’Administration Electronique, Mémoire sur le CIL), je suis juriste spécialisé en droit des nouvelles technologies et Juriste Vie Privée. J'interviens notamment dans le secteur public (collectivités) sur des problématiques relatives à la propriété intellectuelle, aux contrats informatiques et à la vie privée. Aujourd'hui président de My Data Solution à La Réunion, j'ai assumé pendant 8 ans les missions de responsable juridique, responsable de la conformité CNIL et Correspondant "Informatique et Libertés" d'ACTECIL, société spécialisé dans le conseil et l'audit en protection des données à caractère personnel. Je suis également membre de l'association Club DPO qui réunit les CIL actuels, futurs DPO, et responsable de la conformité CNIL de l'île de la Réunion.