Ces derniers jours, nous n’entendons plus parler que de cela: le RGPD (Règlement Général de Protection des Données) qui entre en vigueur ce 25 mai 2018. Mais de quoi s’agit-il? En tant que patron de PME ou TPE, devez-vous vous en inquiéter? Nous vous répondons en quelques mots.
Il faut tout d’abord comprendre que le RGPD vise à protéger nos données personnelles à tous. 77% des cyber-attaques visent des PME: dans la chaine de protection des données, les PME sont donc des maillons faibles.
Néanmoins, la mise en oeuvre de ce nouveau règlement sera moins compliquée que pour des structures plus importantes dans lesquelles interviennent de nombreux collaborateurs.
Il n’y a pas de distinction faite entre les données à usage professionnel ou à usage privé. Que vous traitiez donc de données en BtoB ou BtoC, le RGPD vous impose certaines mesures.
Qu’est-ce qu’une « donnée personnelle »?
Le nouveau règlement appelle « donnée personnelle » toute information se rapportant à une personne physique susceptible d’être identifiée, directement ou indirectement.
Ces informations peuvent être des données que vous utilisez actuellement mais également des données que vous avez archivées et dont vous ne vous servez plus. Citons par exemple: des adresses emails, des listes de noms et prénoms de vos clients, leurs adresses, etc.
Pour bien comprendre la philosophie de cette nouvelle règlementation, une seule règle à retenir: vous n’êtes plus autorisé à utiliser ces données personnelles! La précédente législation sur le sujet était totalement opposé: vous aviez le droit de vous servir de ces données, excepté dans certains cas et pour certains usages.
Le RGPD prévoit 2 exceptions à cette règle:
- l’utilisation exceptionnelle de ces données (moyennant un accord explicite de la personne concernée, accord qui doit également pouvoir être retiré à tout moment).
- l’utilisation de ces données dans le cadre de la réalisation d’un contrat (mais attention, cela doit se limiter aux données directement nécessaires pour remplir la mission demandées, rien d’autre)
L’utilisation exceptionnelle
Ce sont les emails que vous recevez en ce moment, de beaucoup d’entreprises, vous invitant à cliquer sur un lien pour continuer de recevoir leurs newsletters: ces emails visent à obtenir votre consentement non équivoque pour pouvoir continuer à vous envoyer des newsletters. Sans cela, elles sont obligées de vous supprimer de leur base de données d’envoi.
Il s’agit donc pour les entreprises de rentrer dans l’une des 2 exceptions prévues par la réglementation RGPD.
L’utilisation dans le cadre de la réalisation d’un contrat
Ce sont par exemple les noms, prénoms et adresse privée d’un client que vous utilisez pour aller faire une prestation à son domicile. Une fois votre prestation réalisée, vous pourrez vous servir de ces données pour envoyer la facture à votre client. Par contre, il vous sera ensuite interdit de lui envoyer un carton d’invitation pour l’une de vos portes ouvertes.
Quelles questions devez-vous donc vous poser?
- De quelles données personnelles disposez-vous?
- Rentrez-vous dans l’une des 2 exceptions visées par le RGPD? (utilisation exceptionnelle moyennant accord formel que vous devez pouvoir prouver ou utilisation dans le cadre d’un contrat)
- Ne demandez-vous bien que le minimum des données personnelles qui vous sont absolument nécessaires?
- Est-ce bien le minimum de personnes de votre entreprise qui y ont accès parce que ces données leur sont absolument nécessaires pour réaliser leur travail?
Nous vous avons dressé ici les grandes lignes de cette nouvelle règlementation qui s’applique donc bien aux PME et TPE. Pour en savoir plus, rendez-vous sur le site internet de la Commission Vie privée.