Le RGPD, à savoir la nouvelle réglementation européenne qui, prochainement, renforcera considérablement la législation relative à la protection de la vie privée, a déjà fait grand bruit. Tout le monde en a déjà entendu parler, mais pratiquement personne ne sait de quoi il retourne exactement. Nous aimerions vous expliquer ce qu’est le Règlement général sur la protection des données et quelles conséquences il va avoir pour vous en tant qu’entrepreneur indépendant.
Le Règlement général sur la protection des données est généralement désigné en abrégé par les lettres RGPD. Il se peut également que vous rencontriez les lettres GDPR. Celles-ci renvoient à la version anglaise du texte, à savoir la General Data Protection Regulation. La nouvelle réglementation européenne porte sur la protection des données personnelles traitées par les entreprises.
L’objectif du RGPD est double : d’une part, il entend préserver la vie privée des citoyens européens, d’autre part, il entend donner aux citoyens davantage de droits sur l’utilisation qui est faite de leurs données personnelles.
La réglementation s’articule autour de 4 piliers :
Le consentement est l’un des fondements juridiques sur lequel vous pouvez vous baser pour collecter et traiter des données personnelles, parallèlement à l’exécution d’un contrat ou à une obligation légale, par exemple. Le consentement requiert un acte positif, il doit être formulé de manière libre, éclairée, univoque et spécifique. En tant qu’entreprise ou organisation, vous devez ensuite pouvoir prouver que vous avez obtenu le consentement de la personne concernée en vue de collecter ou de traiter ses données.
Il y a eu un problème et vous êtes confronté, en tant qu’entrepreneur indépendant, à une fuite de données ? Vous devez signaler cette fuite de données aux autorités dans les 72 heures, sauf si la fuite n’implique aucune menace pour les données personnelles. L’obligation de notification ne s’arrête toutefois pas là. Vous êtes par ailleurs tenu de signaler la fuite de données dans les 72 heures à « la victime » ou à la personne concernée, dans le cas où vous estimez que son droit au respect de la vie privée est gravement menacé.
Vous devrez être ouvert à l’égard du client et lui expliquer en termes simples de quelle manière vous collectez et traitez ses données.
Votre client peut demander à ce que ses données personnelles soient effacées. En vertu de la nouvelle réglementation, votre client y a droit sous certaines conditions. Si votre client satisfait à ces conditions, vous êtes obligé, en tant qu’entrepreneur, d’accéder à sa demande et de supprimer toutes ses données personnelles dès l’entrée en vigueur de la nouvelle réglementation.
Dans le RGPD, tout tourne autour de la notion de « données personnelles ». Mais qu’englobe exactement cette notion ?
Un fichier Excel dans lequel vous notez toutes vos commandes, une liste d’adresses e-mail pour les publipostages ou lettres d’information que vous envoyez, une base de données contenant les données de vos clients… sont autant d’exemples de conteneurs de données personnelles.
Pour pouvoir vous conformer à la nouvelle réglementation, vous devez évidemment savoir ce que la loi entend précisément par données personnelles. Toute forme d’information qui peut être associée directement ou indirectement à un individu et qui concerne sa vie privée, professionnelle ou publique, relève du dénominateur commun de données personnelles. Songez à cet égard à un nom, une adresse e-mail, une photo, des données médicales, des données financières, mais aussi à une adresse IP ...
Toute personne qui traite des données personnelles dans son entreprise devra se conformer aux nouvelles règles. Cela signifie donc : pratiquement tout le monde. Dès le moment où vous prenez des commandes et où vous enregistrez les données relatives à ces commandes dans un document, vous traitez des données. Du boucher au concepteur de sites web : personne n’échappe au RGPD.
Un délégué à la protection des données (DPD) est la personne au sein de votre organisation qui veille à ce que vous traitiez correctement les données personnelles, tel qu’imposé par le RGPD. Votre DPD supporte un certain nombre de responsabilités spécifiques :
Toutes les entreprises ne sont pas tenues de désigner un DPD. Seules les entreprises qui répondent à un des critères suivants ont l’obligation d’engager un DPD :
Vous pouvez vous inspirer du plan en 13 étapes de la Commission vie privée pour prendre quelques mesures concrètes. Il y a également diverses modifications mineures (quick-wins) auxquelles vous pouvez directement procéder :
1. Analysez vos données
Faites l’inventaire de toutes les données que vous possédez, en n’oubliant pas de préciser sous quelle forme et à quel endroit vous les conservez. Vous serez étonné de la quantité de données en votre possession: songez à vos données clients, à votre système de facturation, à votre outil RH éventuel pour gérer les salaires de vos collaborateurs, à votre outil de rédaction d’e-mails à l’intention de vos clients…
2. Déterminez la nature des données que vous utilisez
Certaines données sont en effet plus sensibles que d’autres. Il est dès lors préférable de classer les données que vous collectez en catégories. Exemples de données très sensibles : données médicales, données de mineurs, données liées à des infractions pénales, numéro de registre national…
3. Réfléchissez à la protection de vos données
Les données en votre possession sont-elles bien protégées et de quelle manière s’opère cette protection ? Penchez-vous également sur la protection de votre site internet. Qui a par exemple accès aux mots de passe que vous utilisez ? Votre site internet est-il suffisamment protégé contre les attaques extérieures ?
4. Documentez tout ce que vous mettez en place dans le cadre du RGPD.
Consignez toutes les mesures que vous prenez pour vous conformer au RGPD. Cela vous permettra de montrer aux autorités compétentes que vous mettez tout en œuvre pour satisfaire au nouveau règlement.
Assurez-vous de reprendre les informations suivantes dans votre rapport :