Vous êtes concerné par le RGPD si :

Vous traitez des données à caractère personnel : de vos clients, patients, employés, utilisateurs…

Vous êtes un organisme situé au sein de l’Union européenne

Vous êtes une très grande entreprise, une petite start-up, ou même une association

Vous traitez et collectez ces données vous-même, ou par le biais de vos sous-traitants

Ou vous traitez des données de personnes situées au sein de l’Union européenne

Vous êtes un organisme privé ou public

... Toutes les organisations sont concernées !

En pratique ça donne quoi ?

Que faire des candidatures spontanées que l'on me dépose ?

Un CV et une lettre de motivation contiennent des données personnelles ! On ne peut, par exemple, inscrire l'adresse mail d'un candidat dans une base de mailing marketing (principe du consentement à la finalité du traitement). Un CV, comme tout autre document contenant des données personnelles, doit être conservé dans un endroit sécurisé (pas sur le bureau à l'accueil), puis archivé ou détruit après un certain délai déterminé (par un destructeur de document, pas à la poubelle !)

OK je n'ai plus le droit de garder des données. Je les supprime ? Je les archive ? Comment ça marche ?

Il y a 3 étapes dans le cycle de vie de la donnée personnelle : ​ - la base active (les données que vous avez le droit d'utiliser au quotidien) - l'archivage intermédiaire (les données dont vous ne pouvez plus vous servir, mais que vous pouvez garder à des fins probatoires) - l'archivage définitif (des données auxquelles on ne peut plus du tout avoir accès !) : cela peut se traduire par leur suppression, ou les rendre anonymes. Il est important de savoir jongler entre ces phases, et de déterminer quand une donnée doit passer à l'étape suivante. le plus simple est de définir une politique d'archivage avec votre DPO !

Dois-je avoir peur de me faire contrôler par la CNIL ?

La CNIL a, parmi ses nombreux pouvoirs, une mission de contrôle et de sanction des violations et des risques en matière de données personnelles. Elle peut donc opérer des contrôles à distance ou en présentiel, de sa propre initiative ou en cas de plainte par exemple. Si la probabilité de subir un jour un contrôle de la CNIL peut paraître mince, elle n'est pourtant pas négligeable ; les moyens alloués à la CNIL pour cette mission ont été accrus, et les conséquences tant financières qu'au niveau de l'image de l'entreprise pourraient être désastreuses, bien plus qu'il y a quelques années. Vous ne vous risqueriez pas à un redressement fiscal en fraudant sur vos documents comptables. Pour la protection des données, c'est pareil !

Dois-je recollecter le consentement de mes clients pour des newsletter avec le RGPD ?

La mise en place du RGPD n'implique pas de redemander le consentement des personnes, si celles-ci l'ont déjà accordé. Les obligations de protection des données personnelles ne sont pas nouvelles, elles ont en France déjà 40 ans ! Redemander le consentement est une grave erreur, puisque si ces derniers décident alors de ne plus consentir, par le simple fait de ne pas répondre à la demande, alors leurs données ne peuvent plus être utilisées !

Mon entreprise utilise les réseaux sociaux. Le RGPD s'applique-t-il ?

Et oui ! Le simple fait d'administrer une page Facebook publique, à titre professionnel, même si vous n'y proposez aucun bien ni service, entraine un traitement de données personnelles ! En effet, vous avez potentiellement accès à des données personnelles : par exemple "Aurélie Dupont aime votre publication". Vous serez alors coresponsable avec Facebook des traitements de données transitant sur votre page, et cela sera également un traitement à déclarer dans votre registre. Le principe de consentement des personnes à la finalité du traitement est ici également applicable, donc pas question d'envoyer une newsletter à toutes les personnes qui ont aimé votre dernière publication !

J'ai beaucoup de dossiers en cours sur mon bureau. Je sais que je dois mieux les ranger, mais ce n'est pas vraiment un risque n'est-ce pas ?

Il est toujours indispensable que les dossiers contenant des données personnelles soit protégés. Une personne mal intentionnée qui rentre dans mon bureau pourrait accéder à des informations qu'elle ne doit pas connaître ! C'est une atteinte à la confidentialité. Au delà, cela réduit les risques de se tromper en mettant une information dans le mauvais dossier et de mettre du temps à la retrouver (atteinte à la disponibilité des données), voire de la perdre (atteinte à l'intégrité des données) !

Un visage sur A/B DATA

Benjamin SEYMOUR

Juriste d'affaires spécialisé en droit de la protection des données personnelles, je m'efforce de concilier au mieux les exigences de la réglementation avec les réalités du milieu professionnel de mes clients.

CONTACTER A/B DATA

Vous pouvez nous contacter via le formulaire ci-dessous :

Mentions légales et Conditions Générales d'Utilisation (CGU)