La CNIL et Bpifrance ont publié un guide pratique de sensibilisation au RGPD pour les TPE-PME.
Depuis le 25 mai 2018, les entreprises doivent:
- recueillir le consentement de leurs clients si leurs données font l’objet d’un traitement ;
- informer leurs clients de leur droit d’accès, de modification et de suppression des informations collectées ;
- assurer la sécurité des systèmes d’information et la confidentialité des données ;
- indiquer une durée de conservation des données.
Les sites internet ou organismes qui traitent des données personnelles de façon régulières devront également :
- créer un registre des activités de traitement des données personnelles;
- effectuer une analyse d’impact avant la création d’un fichier de collecte de données comportant un risque élevé d’atteinte aux droits et libertés des personnes.
Le registre des activités de traitement permet d’identifier :
- les parties (représentant, sous-traitants, co-responsables, etc.) qui interviennent dans le traitement des données,
- les catégories de données traitées,
- à quoi servent ces données, qui accède aux données et à qui elles sont communiquées,
- combien de temps elles sont conservées,
- comment elles sont sécurisées.
En France, l’obligation de tenir un Registre des Traitements concerne tous les organismes, publics comme privés et quelle que soit leur taille, dès lors qu’ils traitent des données personnelles. Cependant, les entreprises de moins de 250 salariés bénéficient d’une dérogation et doivent seulement inscrire au registre :
- les traitements non occasionnels (exemple : gestion de la paie, gestion des clients/prospects et des fournisseurs, etc.) ;
- les traitements susceptibles de comporter un risque pour les droits et libertés des personnes (exemple : systèmes de géolocalisation, de vidéosurveillance, etc.)
- les traitements qui portent sur des données sensibles (exemple : données de santé, infractions, etc.).
Il est interdit d’utiliser les données personnelles à des fins de prospection commerciale sans le consentement préalable du destinataire qui doit toujours être tenu informé de l’utilisation de ses données pour prospection et de son droit de s’y opposer. Cependant, le recueil du consentement n’est pas requis si:
- la personne est déjà cliente et que la prospection commerciale concerne des produits identiques à ceux déjà achetés
- la prospection n’est pas de nature commerciale.
Il convient notamment d’afficher un bandeau ou pop-in dès l’arrivée du visiteur sur n’importe quelle page du site afin de lui laisser le choix de choisir le type de cookies qu’il souhaite laisser actif lors de sa navigation. Un formulaire de contact dédié pour toute demande liée à la gestion des données personnelles doit également être créée.
Les sites internet ont l’obligation de proposer une page dédiée aux informations personnelles des utilisateurs du site en:
- expliquant la politique de gestion des informations personnelles,
- listant l’ensemble des informations qui sont collectées,
- précisant la finalité du traitement de ces données.
https://www.bpifrance-lelab.fr/Analyses-Reflexions/Les-Travaux-du-Lab/Guide-RGPD-Passez-a-l-action
https://www.cnil.fr/fr/RGDP-le-registre-des-activites-de-traitement
https://www.cnil.fr/fr/rgpd-exemples-de-mentions-dinformation