Le RGPD, tous concernés

Vous en avez sans doute entendu parler depuis quelques mois, vous savez que cela vous concerne mais pas vraiment pourquoi ni comment, à partir du 25 mai 2018 s'applique le RGPD (Règlement général sur la protection des données). Sujet technique mais pas insurmontable pour vous labels, voici une fiche qui a vocation à vous expliquer concrètement comment vous mettre aux normes.

Alors, qu’est ce que c’est ? A la base, son objectif premier est de protéger les libertés et droits fondamentaux des personnes physiques, surtout en ce qui concerne leurs données personnelles - qu’elles soient privées (clients, prospects) ou professionnelles (fournisseurs, employés). Avec comme mots d’ordre : transparence (chacun doit pouvoir savoir ce qui est fait de ses données et s’opposer à la collecte de celles-ci) et sécurisation. La sanction financière en cas de non régularisation s'élève tout de même jusqu'à 4% du CA de l’entreprise ou 20 millions d'€.

Si cette loi est surtout importante dans le cadre des grands réseaux sociaux, accusés de sonder les faits et gestes des abonnés pour aiguiser les campagnes de publicité, sans avoir pris soin de glaner préalablement leur consentement libre - elle concerne dorénavant toutes les sociétés qui exploitent des données personnelles pour vendre, faire de la promotion etc.

Vous êtes vivement invités à parcourir le document ci-dessous et à vous mettre en conformité selon les principaux pré-requis.

---------------------------------

    Qui est concerné ?

Tous les acteurs économiques et sociaux collectant les données personnelles de citoyens européens. Soit les entreprises, les associations, les organismes publics et leurs sous-traitants.

➲ Vous, labels indépendants qui disposez de bases de données VPC, e-mailing, listings de contacts médias...

    Objectifs du RGPD

Donner aux citoyens de l’union européenne davantage de contrôle et de visibilité sur leur vie privée : quelles données sont collectées ? De quelle manière ? Où sont-elles ? Comment sont-elles mises à jour ?  Comment les récupérer sur simple demande ?

➲ Vous, label indépendant devez à tout moment savoir de quelles données vous disposez, leur localisation, l’objectif de leur collecte, leur process de traitement, leur mode de stockage, et en assurer la portabilité.

Considéré dans son sens le plus large, « traitement » désigne tout ce qui a trait aux données personnelles, y compris la façon dont une entreprise manipule et gère des données, par exemple dans le cadre de leur collecte, stockage, utilisation et destruction.
Une "donnée personnelle" correspond à toute information identifiant directement ou indirectement une personne physique (ex. nom, no de téléphone, date de naissance, commune de résidence, empreinte digitale...).

   Principes

Le RGPD introduit deux nouveautés d’importance :

  • la responsabilisation des acteurs dans la gestion de leur conformité au quotidien en matière de protection des données.
  • le contrôle a posteriori des autorités de protection. On parle également de co-responsabilité dans le cas de co-traitement des données (sous-traitance).

   Récapitulatif des démarches à mettre en place

Désigner un.e pilote/référent.e/responsable
Cartographier vos traitements de données personnelles sur un document de référence.
Prioriser les actions à mener : informer les personnes, mettre à jour vos mentions légales...
Gérer les risques (si vous traitez des données sensibles, réaliser une étude d’impact.).
Organiser les processus internes

Désigner un.e pilote/référent.e/responsable

Première étape, il convient de désigner, au sein de l’entreprise, un.e délégué.e à la protection des données qui veille, informe et conseille sur les obligations à respecter.

---------------------------------

Il s’agira pour vous, par exemple, d’avoir un contact dédié à la question des données personnelles. Ses coordonnées (adresse mail, téléphone) devront notamment apparaître clairement sur vos supports de communication en ligne (dont le site web). En cas de demande de modification, portabilité, retrait, ou toute autre requête relative aux données personnelles, c’est aussi cette personne qui devra, en tant que responsable administratif (et non pénal), les traiter.

➲Label TPE, si vous êtes seul employé vous serez de facto Délégué à la Protection des Données. Vous n'aurez pas besoin d'indiquer les noms et prénoms du référent sur vos sites web, une adresse email générique suffira.

 

Pour information, voici les missions de votre DPD (Délégué à la Protection des Données) :

  • Former et sensibiliser le personnel : identifier les personnes qui traitent les données personnelles ou qui ont vocation à en collecter et les informer en priorité de leurs nouvelles obligations RGPD.
  • Contrôler le respect du règlement et coopérer avec l’autorité de contrôle 
  • Réaliser les études d’impact (si elles sont nécessaires, voir plus bas) sur la protection des données 

 

Cartographier les données personnelles que traite votre société.

Tenir une documentation interne complète sur les traitements de données personnelles et s’assurer qu’ils respectent bien les nouvelles obligations légales. Objectif : établir un plan d’action.

---------------------------------

Outil à remplir et à conserver dans vos documents administratifs en cas de contrôle : le registre des activités de traitement.

  • Il identifie et cartographie les traitements de données personnelles et les recense dans un registre interne.
  • Il permet d’identifier ceux qui présentent des « risques élevés » (profilage, données de santé, opinions religieuses…) pour les droits des individus, soumis à encadrement.

En découle le plan d’action.

Après quelques recherches, voici le modèle de registre que nous préconisons, qui nous semble le plus simple à remplir. C'est rapide, cela vous prendra 10 minutes !

 

Plan d’action 

Identifiez les actions à mener pour vous conformer aux obligations actuelles et à venir. 

---------------------------------

  • Seules les données strictement nécessaires à la poursuite de vos objectifs sont collectées et traitées. Supprimez les données superflues.
  • Dans le cadre du RGPD, il existe un certain nombre de raisons reconnues (ou « bases juridiques ») pour lesquelles une entreprise peut légitimement traiter des données personnelles. Ci-dessous, les bases juridiques les plus pertinentes prévues par le RGPD.

La nécessité contractuelle

Les données traitées doivent être nécessaires au service et définies dans le contrat avec la personne. (ex : collecte des adresse / date de naissance des employés)

Dans votre cas, il s'agit des données de vos employés mais aussi des informations récoltées par votre VPC. L'acte d'achat est un contrat entre vous et le client en soi.

Le consentement

Un consentement doit être spécifique, éclairé, accordé librement et sans ambiguïté par une action positive claire.

Exemple : pour l’inscription à vos newsletters, intégrer le double opt-in qui consiste à demander une double confirmation à chaque internaute pour recevoir vos campagnes d’email marketing. Toute technique de déstabilisation, comme pré-cocher la case d’opt-in ou avoir recours à une formulation trop vague ou prêtant à confusion (emploi de double négation ou incohérences) sera refusée par le RGPD.

Que faire de ma liste de contacts existante ?

A moins que vous ne disposiez d’une trace prouvant le consentement de vos contacts, vous ne pourrez pas leur envoyer de campagnes d’emails marketing. Si vos contacts sont consentants à recevoir vos communications mais que vous n’avez pas un document qui le prouve, vous devrez alors mener une campagne emailing pour obtenir à nouveau le consentement.

Qu’est-ce que l’intérêt légitime ?

Selon l’article 6, les organisations du secteur privé peuvent traiter les données de personnes sans leur consentement si elles ont une raison légitime de le faire et ne doivent pas être contrebalancées par un impact injustifié sur les individus. Les droits fondamentaux et la liberté du sujet ne devraient pas être lésés. Le traitement de données à caractère personnel dans le but de prévenir la fraude est considéré comme un intérêt légitime, ce qui n’est pas le cas du marketing direct.

✋Les personnes ont le droit de retirer leur consentement et doivent être informées de ce droit.

✋Il doit provenir d’une personne ayant atteint la majorité selon les lois de l’État membre concerné ou il doit être donné ou autorisé par un parent ou une personne responsable dans le cas d’un mineur.

✋Le consentement explicite peut être requis dans certains cas (par exemple, pour des catégories spéciales de données personnelles).

Labels, vous devez donc légalement envoyer une campagne d'emailing à vos contacts de marketing direct pour confirmer leur consentement. Un tutoriel qui nous parait explicite ici.
  • Mettre à jour les mentions légales de votre société.

Le droit à l’information est renforcé : vous devez indiquer la base juridique sur laquelle se fonde le recueil des données, indiquer leur durée de conservation, et les modalités de mise à jour ainsi que de gestion des droits des personnes (accès, rectification, effacement, etc.), ou encore le droit pour les personnes concernées d’introduire une réclamation auprès d’une autorité de contrôle.

Sur votre site web, une mention devra comporter les informations ci-dessus, accompagnée du contact email du Délégué à la Protection des Données. Nous cherchons un modèle précis pour vous labels et l'indiquerons dès que possible, d'ici la vous pouvez vous référer au modèle CNIL.
  • Les nouveaux droits 

Droit à la portabilité : toute personne peut demander à recevoir ses données dans un format structuré et lisible.

Droit à l’oubli : elle peut obtenir l’effacement des données la concernant dans certains cas.

  • Garantir la sécurité des données personnelles :

Dans la mesure du possible, anonymisez vos données par chiffrement et pseudonymisation par exemple. Vous devrez informer au plus vite les autorités en cas de violation de données personnelles (perte, divulgation, accès non autorisé, vol d’ordinateur).

Gérer les risques (si vous traitez des données sensibles, réaliser une étude d’impact.)

Si vous avez identifié des traitements de données personnelles susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes concernées, vous devrez mener, pour chacun d’entre eux, une étude d’impact sur la protection des données.

---------------------------------

 

Comment identifier les données sensibles dans le secteur culturel ?

  1. Révèlent-elles l’origine prétendument raciale ou ethnique, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale ?
  2. Sont-elles liées à la santé ou l’orientation sexuelle ?
  3. Les données concernent des mineurs.
  4. elles concernent la surveillance systématique à grande échelle d’une zone accessible au public ?

Si vous avez répondu oui à l’une de ces questions :

Un régime spécifique s’impose parce que ce type de traitement est interdit sauf sous certaines conditions, si l’organisation a préalablement recueilli le consentement de la personne concernée ou si le traitement est nécessaire pour des motifs légitimes. (article 9 du RGPD)

Il conviendra de réaliser des analyses d’impact sur les traitements à risques élevés pour :

  • Migrer vers un traitement de données personnelles ou un produit respectueux de la vie privée,
  • Apprécier les impacts sur la vie privée des personnes concernées,
  • Démontrer que les principes fondamentaux du règlement sont respectés.

Modèle d’étude d’impact : 1 et 2

A priori, les labels ne seront pas concernés par les données sensibles, s'il apparait que vous en possédez quelques unes, envisagez de les supprimer pour éviter cette classification.

 

S’organiser en interne

 ---------------------------------

 

Dès la conception d’un nouvel outil ou du lancement d’un nouveau projet (informatique notamment), pensez à appliquer le principe de protection des données et les limiter aux données adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités. Les accès sont restreints aux seules personnes légitimes, en raison de leur fonction ou mission. Cette démarche doit être documentée et tracée.

Mettre en place un document qui détaille les lignes directrices, auquel se reportent les collaborateurs, ainsi que les relations de votre organisation avec leurs sous-traitants (prestataires d’hébergements de site internet, routeurs).

Labels, gardez bien en tête que vous êtes co-responsables, par exemple contactez Bandcamp (qui contrairement à d'autres n'a pas encore publié d'information sur sa mise en conformité RGPD) pour leur demander ce qu'ils comptent faire.

✌ Fiche rédigée en partenariat avec le RIM - Réseau des Indépendants de la Musique en Nouvelle Aquitaine.

Documenter la conformité

Pour prouver votre conformité au règlement, vous devez constituer et regrouper la documentation nécessaire en un petit dossier. Tout a déjà été détaillé dans les étapes ci-dessus. Voici un récap' des documents à fournir en cas de contrôle.

 ---------------------------------

 

 

Pour vous labels, qui n'êtes pas concernés par les données sensibles

  • Le registre des traitements
  • Les mentions d’information
  • Les modèles de recueil du consentement des personnes concernées,
  • Les procédures mises en place pour l'exercice des droits
  • Les contrats avec les sous-traitants
  • Les procédures internes en cas de violations de données
  • Les preuves que les personnes concernées ont donné leur consentement lorsque le traitement de leurs données repose sur cette base.

 

✌ Fiche rédigée en partenariat avec le RIM - Réseau des Indépendants de la Musique en Nouvelle Aquitaine.

+ Sources et outils complémentaires :

Guide du CNIL

To Do List du CNIL

Modèle de mention

Fiche : cartographier vos traitements de données personnelles