17 septembre 2021

Comment mettre en œuvre la protection des données personnelles?
Temps de lecture : 5 min

Jeanne Bahu
Diplômée d'un Master 2 de Droit de l'Université de Lille 2

Besoin d’en savoir plus?

Le traitement des données personnelles, notamment sur les sites internet, interpelle de plus en plus les Français. Ces derniers recherchent une plus grande transparence et un contrôle plus efficace de l’utilisation de leurs données. La mise à disposition d’une charte sur le respect de la vie privée est d’ailleurs obligatoire pour l’ensemble des site traitant des données personnelles.

L’entrée en application du Règlement général sur la protection des données (RGPD) a fait couler beaucoup d’encre. Mais qu’entend-on véritablement par protection des données personnelles? Quelles sont les conséquences pour l’activité quotidienne de votre entreprise? 

Qu’est-ce que la protection des données personnelles? 

Les données personnelles regroupent toutes les informations qui permettent d’identifier directement (ex: nom et prénom) ou indirectement (ex: n° de téléphone) une personne physique. Voici une liste non-exhaustive de données personnelles: 

  • l’identité et les coordonnées: nom, prénoms, date de naissance, adresse postale, adresse email, etc.
  • les numéros d’identification: n° de passeport, n° de sécurité sociale, etc.
  • les informations financières et bancaires: RIB et IBAN, n° de carte bancaire, etc.
  • les données de géolocalisation
  • les habitudes de comportement: comportement d’achat, goûts, etc.
  • l’image et la voix.  

Ces données personnelles, dès leur collecte, ont vocation à être utilisées dans un but précis. Une entreprise ne peut collecter des données sans raison. 

Exemple: elle doit le faire pour la gestion de son fichier client ou la mise à jour d’un service de fidélisation.

Le processus est appelé “traitement des données personnelles”. Par cette expression, on parle de toutes les opérations réalisées sur les données personnelles, comme la communication à un partenaire par exemple, mais également la consultation de ces données, leur enregistrement... Ce traitement fait l’objet d’une politique de confidentialité.

La protection des données personnelles en France concerne toutes entreprises, des TPE aux ETI. Chaque dirigeant d’entreprise est concerné par la réforme sur la protection des données personnelles, ou RGPD.

À noter: de nombreux entrepreneurs se demandent qui est concerné par le RGPD, alors n’attendez plus et découvrez notre fiche pratique sur le sujet.

Quelles autorités assurent la protection des données personnelles? 

La CNIL (Commission Nationale de l’Informatique et des Libertés) est l’actrice principale de la protection des données personnelles en France. Il s’agit d’une autorité de contrôle. 

Elle peut délivrer des certifications attestant de l’utilisation adéquate des données personnelles des utilisateurs, mais également des salariés de l’entreprise.

Exemple: les données présentes sur un bulletin de salaire ou sur une candidature doivent être traitées en respectant le RGPD. 

À côté de cela, les entrepreneurs peuvent compter sur l’ANSSI (l’Agence Nationale de la Sécurité des Systèmes d’Information). Cette agence propose aussi des solutions numériques fiables ou encore des informations concernant les bonnes pratiques de l’hygiène informatique. 

Au sein des entreprises, plusieurs acteurs mettent également en œuvre la protection des données personnelles. Le délégué à la protection des données, présent dans certaines entreprises, est chargé d’informer et de conseiller l’entité sur les règles à mettre en place pour renforcer la protection des données. 

Bon à savoir: il n’est pas toujours nécessaire de faire appel à ce délégué, sauf si vous estimez que le traitement de données fait partie intégrante de votre entreprise (si vous avez des données sensibles, ou en grande quantité). 

Le responsable du traitement des données, qui peut être incarné par une entreprise ou une personne physique, doit engendrer une transition efficace vers un régime plus transparent et plus simple concernant la protection des données personnelles. C’est ce responsable qui met en place la protection des données au sein d’une entreprise et organise la sécurisation des données des clients, salariés…

En pratique: il s’agit souvent de l’entreprise elle-même.

Quelle réglementation pour la protection des données personnelles? 

La transparence concernant l’utilisation des données

La protection des données personnelles permet d’apporter plus de transparence à la gestion de ces données. Les chartes relatives à la protection des données personnelles permettent aux entreprises de détailler toute l’utilisation des données et les moyens mis en place pour les protéger. 

Aujourd’hui, tout est mis en œuvre pour donner au consommateur une plus grande marge de manœuvre concernant ces données.

Exemple: n’importe quel consommateur a un droit d’accès à ses données, il peut également s’opposer à leur traitement ou demander une rectification. Les enfants de moins de 16 ans bénéficient également d’une protection de leurs données personnelles plus accrue.

Le droit à l’information 

L’entité qui souhaite conserver des données personnelles doit informer son client:

  • de l’objectif poursuivi;
  • des personnes ayant accès à ces données
  • de la durée de conservation;
  • de toutes les informations qu’il serait utile de porter à la connaissance du client. 

Cette information doit avoir lieu au moment de la collecte si celle-ci est directe. Cependant, si la collecte est indirecte, l’entité doit prévenir le consommateur dans un délai d’un mois

Tout changement dans l’objectif poursuivi ou dans le traitement des données doit faire l’objet d’une notification au consommateur concerné.

Exemple: cette information se traduit par exemple par l’utilisation de cookies, que le consommateur peut accepter ou non. Aujourd’hui, vous devez donner la possibilité à l’utilisateur de refuser facilement les cookies. Pour le laisser faire son propre choix, n’hésitez pas à expliquer clairement l’objectif poursuivi via l’utilisation des cookies. Par exemple, il faut expliquez que certains cookies servent à personnaliser la circulation sur le site. 

La politique d’utilisation des données se retrouve dans les mentions légales obligatoires sur internet. En effet, ces dernières doivent être conformes à la nouvelle réglementation sur les données personnelles.

En pratique: de nombreuses mentions légales RGPD sont obligatoires.

Les sanctions 

Pour permettre une protection efficace des données personnelles, les sanctions se sont également intensifiées. On parle alors de sanctions administratives et pénales. Parmi elles, on note la possibilité de suspendre le flux de données ou même le traitement de ces données. Il peut également s’agir d’ordres délivrés à l’entité, comme celui de rectifier ou d’effacer les données contestées. Les entreprises ayant une certification concernant le traitement des données des consommateurs peuvent se la faire retirer.

Plus directement, ces entités peuvent recevoir des amendes administratives, allant jusqu’à 20 millions d’euros ou représentant 2 à 4% du chiffre d’affaires annuel mondial (la sanction étant délivrée pas uniquement par les autorités françaises, mais par toute l’Union Européenne). 

D’un point de vue pénal, la peine est de 5 ans d’emprisonnement de 300.000€ d’amende en cas de mauvais traitement des données à caractère personnel. 

Comment mettre le RGPD en place dans votre entreprise? 

Vous êtes dirigeant d’une PME ou d’une TPE? Pas de panique, voici quelques recommandations pour que la transition vers un système plus fiable se passe pour le mieux: 

  • commencez par recenser tous les fichiers qui contiennent les données personnelles de vos clients ou de votre personnel; 
  • résumez pour chaque fichier les données conservées, l’objectif poursuivi, la durée de conservation et les personnes ayant accès à ces données; 
  • faites le tri dans ces données, effacez celles qui sont à risque, ou dont la durée de conservation est dépassée; 
  • sécurisez les données: cela passe par une meilleure politique de protection des mots de passe.

Exemple: exigez de vos utilisateurs qu’ils choisissent un mot de passe avec différents caractères, des majuscules, minuscules et des chiffres. 

Si vous appliquez cela, vous allez donner confiance à vos clients. Ils seront plus sereins lors de leur navigation sur votre site. Vous pourrez également témoigner d’une meilleure gestion de votre site et de ses données.

À noter: pour obtenir plus de renseignements sur la mise en place du RGPD en association, découvrez notre fiche dédiée.

Mise à jour : 17/09/2021

Rédacteur : Jeanne Bahu, diplômée d'un Master 2 de Droit de l'Université de Lille 2. Sous la direction de Pierre Aïdan, docteur en droit et diplômé de Harvard.

Besoin d’en savoir plus?

Recevez gratuitement les meilleurs articles de la catégorie RGPD

Recevoir les articles