Quelles sont mes obligations sur la protection des données ?
Une donnée personnelle est une donnée permettant d’identifier une personnelle, par exemple : un e-mail, un nom, un prénom, une adresse, etc.
Si je récolte des données personnelles dans le cadre de mon activité, je dois respecter la réglementation RGPD (Règlement Général sur la Protection des Données).
Cette loi est applicable pour toutes les nouvelles données que je collecte, mais également pour toutes celles que j’ai déjà récoltées.
Étape 1 : Être au clair sur les données collectées
Je détermine les données que je collecte et les traitements que j’applique à ces données :
Quelles sont les catégories de données que j’enregistre ?
Quels sont les traitements que je fais de ces données : est-ce que je fais des analyses particulières ? Est-ce que j’envoie des newsletters ?
Dans quel but je récolte les données et je fais ces traitements ?
Où les données en questions sont-elles hébergées ?
Pendant combien de temps je conserve ces données ?
Étape 2 : Je fais le tri dans mes données
Je ne dois collecter que des données strictement nécessaires à mon activité. Je dois donc effacer toutes celles qui ne le sont pas. Par exemple, pour un site de e-commerce, je peux collecter les nom, prénom, téléphone, adresse e-mail, adresse postale, etc., en revanche je n’ai pas besoin de récupérer le numéro de sécurité sociale.
Je dois avoir recueilli l’accord de la personne qui m’a fourni ses informations personnelles.
Je conserve les données pendant le plus court délai possible et je m’assure qu’elles sont exactes et mises à jour.
Étape 3 : Je respecte le Règlement général sur la protection des données (RGPD)
À chaque fois que je collecte des données personnelles, je suis tenu d'en informer les personnes concernées. Pour cela, je dois rédiger un texte clair qui explique la collecte de ces données, l’informant notamment :
que je collecte ces données,
dans quel but je les collecte,
ce qui m’autorise à les collecter : consentement, contrat, obligation légale, etc.,
les autres destinataires des données que je collecte,
et la durée de conservation des données.
Je dois permettre aux personnes d’exercer leurs différents droits sur leurs données :
droit d’information : être informé de la collecte,
droit d’accès : accéder à ses propres données,
droit d’opposition : se désinscrire de newsletter par exemple,
et droit à l’oubli : effacer ses données de la base de données.
Étape 4 : Je sécurise les données personnelles
Je dois assurer la sécurité des données que j’ai collectées, et être en mesure de prouver que j’ai mis en place des mesures pour la garantir. Concrètement, voici ce qu’il faut que je fasse :
mettre à jour les antivirus,
changer régulièrement mes mots de passe et utiliser des mots de passe complexes : je peux générer et stocker mes mots de passe à travers Keepass,
mettre en place une procédure en cas de vol des données.
Je suis garant de la sécurité des données si elles sont hébergées par un tiers.
Si mon entreprise subit une violation des données, je dois en informer la CNIL dans les 72h.
Liens utiles
Les sanctions en cas de non-respect de la loi sont progressives et fonction de la gravité des faits. Cela va du simple rappel à l’ordre à une amende d’un pourcentage de mon chiffre d’affaires.
Je favorise le matériel reconditionné ou je consulte l’indice de réparabilité (me permettant de rendre mon matériel plus durable) dans mes décisions d’investissement.
Je procède à une évaluation des besoins de mon activité avant de me procurer du matériel.
Pour changer de matériel, je privilégie les commerces de proximité.
Je tente d’atteindre une consommation faible de mon activité en données et énergie.