PROFESSIONNEL

Le RGPD dans votre entreprise

CAMILLE MERLET / 12 DÉCEMBRE 2016

Les données personnelles de vos clients : le nouveau règlement Européen

Vous êtes une entreprise, le RGPD doit être mis en place, les nouvelles obligations en matière de protection des données personnelles de vos clients doivent être sécurisées, cette note répondra à vos premières questions à ce sujet.

Le nouveau règlement européen dit RGPD du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, sera applicable à compter du 25 mai 2018.

L’objectif du RGPD est d’assurer la transparence en matière de traitement de données personnelles notamment en :

• renforçant l’information et les droits des personnes concernées par le traitement de leur données à caractère personnel,

• responsabilisant les acteurs traitants des données, c’est-à-dire vous (responsables du traitement et les sous-traitant,

Le règlement met en place un « guichet unique » auprès de la CNIL avec lequel les entreprises seront en contact.

ATTENTION

Le règlement impose la mise à disposition d’une information claire, intelligible et aisément accessible aux personnes concernées par les traitements de données.

Attention à intégrer cette réforme dans vos Conditions générales de Ventes.

LES DROITS DE VOS CLIENTS EN MATIÈRE DE DONNÉES PERSONNELLES – RGPD

1.Le droit à l’effacement 

Une personne à le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant.

Donc, si un client vous en fait la demande, vous devrez supprimer de vos fichiers toutes les informations le concernant si :

• les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d’une autre manière,

par exemple : il n’y a plus de commandes en cours, la livraison est terminée, le paiement définitif est intervenu, il n’y a plus de garantie sur le produit livré, fabriqué ou posé…, il n’y a pas de litige en cours et aucune obligation légale ne vous impose de conserver ces données.

• Les données à caractère personnel ont été collectées dans le cadre de l’offre de services de la société de l’information. (Dans un but publicitaire

2.Le droit à la portabilité des données

Ce nouveau droit permet à une personne de récupérer les données qu’elle a fournies sous une forme aisément réutilisable, et, le cas échéant, de les transférer ensuite à un tiers.

 Si vous réutilisez les données personnelles de vos clients pour les transmettre à un tiers (par exemple à un transporteur ou un sous-traitant), il faut que :

• le client vous ai donné son consentement, il peut découler d’un contrat ou de vos CGV;
• le traitement doit être effectué à l’aide de procédés automatisés (fichiers informatiques).

Attention le client doit toujours valider de manière claire le transfert de ses données.

3.Droit à réparation et responsabilité

Vous devez avoir une approche soucieuse de la protection de la personne concernée car s’il subit un dommage vous pourrez lui devoir des dommages et intérêts.

VOS OBLIGATIONS EN MATIÈRE DE RGPD

1. La tenue d’un registre des activités de traitement

Vous et vos sous-traitants devez établir un registre des activités de traitement des données. (Écrit/électronique). Si vous comptez moins de 250 employés, l’obligation ne vous est pas applicable, sauf s’il existe un risque pour les droits et des libertés des personnes concernées.

Donc si vous avez un site internet marchand qui collecte des données personnelles il serait prudent d’en prévoir un afin de vous garantir en cas de problèmes.

Ce registre doit comporter les informations suivantes :

• le nom et les coordonnées du responsable du traitement au sein de votre entreprise,
• les finalités du traitement,
• le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, et les documents attestant de l’existence de garanties appropriées,
• une description des catégories de données traitées, ainsi que les catégories de personnes concernées par le traitement ,
• dans la mesure du possible, les délais prévus pour l’effacement des différentes catégories de données,
• dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles mises en œuvre.

Pour les mineurs de moins de 16 ans : L’information sur les traitements de données les concernant doit être rédigée en des termes clairs et simples, que l’enfant peut aisément comprendre. Le consentement doit être recueilli auprès du titulaire de l’autorité parentale.

2. La notification des violations de données à caractère personnel

Vous devez signaler à la CNIL toutes les violations existantes dans un délai de 72 heures et mettre en copie la personne concernée.

J’attire votre attention en cas de piratage de vos fichiers, il conviendra de se référer à cette notification.

Je vous invite à me consulter en cas de problèmes de ce type afin que nous rédigions ensemble cette déclaration.

3. L’analyse d’impact

Vous et vos sous-traitant devez effectuer une analyse d’impact relative à la protection des données préalablement aux traitements présentant des risques.

Pour tous les traitements à risque, le responsable de traitement devra conduire une étude d’impact complète, faisant apparaître les caractéristiques du traitement, les risques et les mesures adoptées.

Exemples : données qui révèlent l’origine raciale ou ethnique, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale, les données concernant la santé ou l’orientation sexuelle, mais aussi, les données génétiques ou biométriques et le profilage.

Le cabinet Constance Avocats vous propose une offre adaptée à la taille de votre entreprise et vous garantit un haut niveau d’expertise.