L’essentiel sur le Règlement Général sur la Protection des Données (RGPD)

Ce règlement européen réforme les règles de traitement des données à caractère personnel.

Ce que le RGPD change :

  • le traitement de données à caractère personnel ne peut s’effectuer sans le consentement explicite de la personne concernée
  • les entreprises collectant ce type de données doivent réaliser certaines actions obligatoires pour se mettre en conformité
  • les entreprises ne s’y conformant pas encourent de lourdes sanctions

Ce que Breizh Digital va faire pour vous accompagner

Tout d’abord, comme nous vous devons du conseil sur le sujet, nous avons fait ici le résumé des informations essentielles et les liens pour en savoir plus sur le RGPD en tant que chef d’entreprise.

Ensuite, en fonction du fait que vous travaillez avec nous via un forfait mensuel ou pas, voici ce que nous allons faire pour vous.

Pour les clients en forfait mensuel

En tant qu’agence digitale à Vannes, notre volonté est de lier avec nos clients un partenariat efficace pour les  accompagner dans leur transition numérique. Notre équipe a à cœur de vous rendre un service de qualité :
  • par sa disponibilité,
  • ses compétences,
  • son professionnalisme
  • et sa rigueur.

Pour les autres clients

Le « Digital » aujourd’hui requiert de nombreuses compétences. Pour couvrir la totalité de ces aspects,nous avons en interne les compétences pour couvrir vos besoins essentiels :
  • stratégie digitale,
  • site web,
  • webmarketing (avec le référencement, la publicité en ligne, les réseaux sociaux, le marketing automation, …),
  • développement logiciel,
  • photo et vidéo professionnelle.

Pour le reste, nous allons chercher dans nos partenaires ceux qui pourraient le mieux correspondre aux besoins de nos clients. Nos partenaires sont :

  • soit locaux sur la Bretagne,
  • soit nationaux ou internationaux avec l’apport du réseau WSI

Plus d’informations en résumé sur le RGPD

Ce qu'il faut retenir

  • On entend par données personnelles des données telles que le nom, le prénom, le sexe, l’âge, le téléphone, l’adresse, l’email, la localisation (y compris l’adresse IP complète), …
  • Si les données personnelles ne sont pas au cœur de votre activité, les moyens à déployer pour vous mettre en conformité au RGPD ne seront pas très importants !
  • Ce règlement dans votre entreprise n’est donc pas obligatoirement un projet technique ou juridique, il s’agit avant tout de bon sens et d’organisation.
  • Ce règlement ne vise pas principalement vos organisations, cependant il faut montrer que vous êtes attentifs et respectueux des données personnelles.

En clair,

  • je ne collecte que ce dont j’ai besoin
  • je tiens à jour la liste de mes fichiers
  • je m’assure que les données collectées servent bien l’objectif prévu
  • je donne les moyens aux personnes d’exercer leurs droits sur leurs données
  • je mets en place un processus interne pour le traitement des demandes

Recenser les données

  • l’objectif poursuivi (la finalité – exemple : la fidélisation client)
  • les catégories de données utilisées (exemple pour la paie : nom, prénom, date de naissance, salaire, etc.) ;
  • qui a accès aux données (le destinataire – exemple : service chargé du recrutement, service informatique, direction, prestataires, partenaires, hébergeurs) ;
  • la durée de conservation de ces données (durée durant laquelle les données sont utiles d’un point de vue opérationnel, et durée de conservation en archive).

Faire le tri dans vos données

Ne pas demander mais aussi ne pas garder des données personnelles dont vous n’avez pas besoin.

Respecter le droit des personnes

Informez les personnes

À chaque fois que vous collectez des données personnelles, le support utilisé (formulaire, questionnaire, etc.) doit comporter des mentions d’information.Vérifiez que l’information comporte notamment les éléments suivants :
pourquoi vous collectez les données (« la finalité » ; par exemple pour gérer l’achat en ligne du consommateur) ;

  • ce qui vous autorise à traiter ces données (le « fondement juridique » : il peut s’agir du consentement de la personne concernée, de l’exécution d’un contrat, du respect d’une obligation légale qui s’impose à vous, de votre « intérêt légitime ») ;
  • qui a accès aux données (indiquez des catégories : les services internes compétents, un prestataire, etc.) ;
  • combien de temps vous les conservez (exemple : « 5 ans après la fin de la relation contractuelle ») ;
  • les modalités selon lesquelles les personnes concernées peuvent exercer leurs droits (via leur espace personnel sur votre site internet, par un message sur une adresse email dédiée, par un courrier postal à un service identifié) ;
  • si vous transférez des données hors de l’Union européenne (précisez le pays et l’encadrement juridique qui maintient le niveau de protection des données).

Permettez aux personnes d’exercer facilement leurs droits

Les personnes dont vous traitez les données (clients, collaborateurs, prestataires, etc.) ont des droits sur leurs données, qui sont d’ailleurs renforcés par le RGPD : droit d’accès, de rectification, d’opposition, d’effacement, à la portabilité et à la limitation du traitement.

Vous devez leur donner les moyens d’exercer effectivement leurs droits. Si vous disposez d’un site web, prévoyez un formulaire de contact spécifique, un numéro de téléphone ou une adresse de messagerie dédiée. Si vous proposez un compte en ligne, donnez à vos clients la possibilité d’exercer leurs droits à partir de leur compte.

Mettez en place un processus interne permettant de garantir l’identification et le traitement des demandes dans des délais courts (1 mois au maximum).

Tenue de registre

La tenue de registre est obligatoire mais la bonne nouvelle c’est que pour les entreprises de – de 250 salariées, elle est simplifiée. Seuls les traitements suivants sont obligatoires :

  • les traitements non occasionnels (exemple : gestion de la paie, gestion des clients/prospects et des fournisseurs, etc.) ;
  • les traitements susceptibles de comporter un risque pour les droits et libertés des personnes (exemple : systèmes de géolocalisation, de vidéosurveillance, etc.)
  • les traitements qui portent sur des données sensibles (exemple : données de santé, infractions, etc.).