Prêt pour le RGPD ?

Le 25 mai 2018, le Règlement Général sur la Protection des Données (RGPD) va entrer en application. Il fixe de nouvelles règles au niveau européen pour toutes les entreprises qui recueillent des données personnelles, que ce soit vis-à-vis de leurs salariés (plus de 250 salariés) ou de leurs clients, voire de leurs sous-traitants puisque la loi introduit une notion de co-responsabilité en cas de non-conformité d’un sous-traitant à ce règlement.

Le contexte :

Le RGPD s’applique à toute structure qui collecte des données personnelles sur des citoyens européens. Qu’entend-on par donnée personnelle ? Celle qui peut servir à identifier une personne, comme par exemple un nom, une adresse mail ou IP, ou encore un cookie ou une photo.

Le texte de loi européen précise que « toute personne a droit à la protection des données à caractère personnel la concernant. »

Les impacts pour le commerce en ligne

Certaines dispositions de la loi entrainent des modifications informatiques et techniques importantes, comme la demande de consentement lors du recueil des données ou le droit à l’oubli. Il vous reste donc quelques semaines pour adapter votre site, vos formulaires et vos systèmes d’archivages aux changements légaux.

1 – Une information claire et transparente

La loi insiste sur le fait de ne recueillir que les données nécessaires à l’achat et d’informer clairement le client des modalités de cette collecte : « Tout traitement de données à caractère personnel devrait être licite et loyal. Le fait que des données à caractère personnel concernant des personnes physiques sont collectées, utilisées, consultées ou traitées d'une autre manière et la mesure dans laquelle ces données sont ou seront traitées devraient être transparents à l'égard des personnes physiques concernées. »

Le client doit donc donner son consentement au moment de donner des informations personnelles, via un formulaire. Et lorsque le client accepte de recevoir des informations, il doit savoir précisément quelle sera la finalité de cette inscription.

Enfin, le client pourra, s’il le désire, accéder aisément aux données personnelles collectées sur lui. A sa demande, vous devrez les lui transmettre dans un format lisible.

2 – Un stockage des données limité dans le temps

Les données ne devront être conservées que pendant le temps de l’opération. Lorsqu’un client est inactif, ses données devront être supprimées au bout de 3 ans.

L’article 17 définit le droit à l’effacement ou « droit à l’oubli » dans différents cas. Parmi ceux-ci :

3 – Prouver la conformité et sécuriser

Autres points importants prévus par le RGPD :

Nota - Cet article recense pour vous les points principaux de ce nouveau cadre légal. Nous vous conseillons toutefois de contacter votre conseiller juridique habituel pour mettre en place et vérifier votre mise en conformité. 

En savoir plus :

La CNIL a défini 6 étapes pour se mettre en conformité avec le RGDP : RGPD se preparer en 6 etapes​ 

Les outils de la CNIL à votre disposition : RGPD comment la cnil vous accompagne dans cette periode transitoire

Le règlement complet est disponible sur http://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32016R0679

A lire Comment le RGPD affectera-t-il les entreprises de e-commerce ? https://www.itgovernance.eu/blog/fr/comment-le-rgpd-affectera-t-il-le-e-commerce/