Découvrez rapidement comment le RGPD peut vous affecter

Prenez 5 minutes pour savoir où vous en êtes vis-a-vis le RGPD.

RGPD : posez-vous 5 questions

Le RGPD - le règlement général sur la protection des données - protège les résidents de l’UE des entreprises et des courtiers de données qui exploitent les informations personnelles d’une manière que beaucoup considèrent contraire à l’éthique. Les règles sont en place pour limiter l’utilisation abusive par les grands processeurs de données à caractère personnel, mais elles peuvent imposer certaines des mêmes restrictions aux PME gérées de manière responsable qui doivent contacter les résidents de l’UE pour des raisons légitimes. En répondant à 5 questions, vous pourrez évaluer comment le RGPD peut vous affecter et prendre les mesures appropriées pour continuer à gérer votre entreprise tout en respectant les nouvelles règles.

Cliquez sur une question ci-dessous si votre réponse est Oui ou si vous n’êtes pas sûr

Avez-vous répondu Non aux 5 questions? Vous n’avez probablement pas à vous soucier des effets du RGPD sur votre entreprise. Si vous avez encore des doutes concernant les risques pour les données personnelles, Contactez-nous pour un aperçu exclusif basé sur notre vaste expérience de travail avec les sociétés et autorités européennes sur la protection des données personnelles.


Y a-t-il une possibilité que vous interagissiez avec des résidents de l’UE ?

Un résident de l’UE peut-il obtenir des biens ou des services de votre organisation? Votre organisation emploie-t-elle quelqu’un, même un contractant extérieur, résidant dans un pays de l’UE ? Faites-vous affaire avec une entreprise basée dans l’UE ?

Lorsque vous collectez des informations sur des prospects ou des clients, que ce soit à des fins transactionnelles ou de communication, que vous vendiez B2B ou à des consommateurs, vous devez vous conformer au RGPD.

Les informations personnelles concernant les employés et les associés commerciaux résidents de l’UE sont également soumises à la nouvelle directive RGPD. Vous devrez prendre des précautions particulières pour protéger ces informations et les utiliser uniquement aux fins auxquelles elles étaient destinées, par ex. pour contacter directement, effectuer des transactions commerciales ou faire des déclarations fiscales.

Le RGPD réglemente le traitement des données personnelles identifiables (DPI). Traiter, simplement, signifie collecter, stocker ou utiliser des informations.


Pourriez-vous traiter des données personnelles sans le savoir ?

Avez-vous collecté ou stockez-vous, utilisez-vous ou traitez-vous de quelque manière que ce soit des données personnelles de personnes résidant dans l’UE ? Utilisez-vous des formulaires en ligne ou utilisez-vous une base de données de gestion de la relation client (CRM) pour collecter des données ?

Les données personnelles peuvent être, par exemple:

  • prénom, nom d’une personne
  • une adresse
  • un numéro de téléphone
  • une adresse e-mail telle que [email protected]
  • un numéro de carte d’identité
  • une adresse IP (Internet Protocol)
  • cookies de site Web

La collecte et le stockage de données peuvent se faire via un formulaire d’inscription ou de contact, ou en saisissant des informations à partir de cartes de visite dans une feuille de calcul ou une liste de distribution sur une plateforme de messagerie, par exemple. Les cookies du site Web sont considérés comme des données personnellement identifiables de la même manière que les noms, adresses e-mail et numéros de téléphone que vous collectez via les formulaires en ligne, car ils peuvent être utilisés pour suivre les personnes. Un CRM stocke des données personnelles, ce qui déclenche la nécessité de se conformer au RGPD.

La conformité au RGPD comprend l’obtention d’un consentement exprès (et non par défaut) pour collecter des informations, y compris les cookies, et être clair sur le but de la collecte, par ex. pour recevoir des informations sur votre entreprise et vos produits, obtenir une réponse à leur question ou personnaliser votre expérience de visiteur sur votre site. Vous devez également proposer une politique de confidentialité claire sur votre site Web.

Vous devez donner aux résidents de l’UE l’accès à leurs données lorsque vous les stockez - en leur permettant d’obtenir une copie des données que vous avez collectées et de corriger les données inexactes - et de répondre à leurs demandes de suppression ou de transfert à une autre entité.

Des précautions particulières doivent être prises pour protéger les données personnelles contre le vol ou la mauvaise utilisation. Les données sensibles vous obligent à prendre des mesures supplémentaires pour protéger les résidents de l’UE de toute utilisation abusive possible.


Les gens pourraient-ils penser que leurs données sont utilisées d’une manière qu’ils ne voulaient pas ?

Utilisez-vous les données personnelles d’une manière qui n’était pas initialement prévue lors de leur collecte ? Utilisez-vous les données personnelles que vous collectez sur les personnes pour prendre des décisions susceptibles de les affecter ?

Lorsque les gens vous donnent leurs coordonnées pour obtenir une réponse à une question ou pour obtenir des informations sur un produit, ils vous font confiance avec leurs données personnelles. Si vous utilisez ces données personnelles pour leur envoyer des newsletters qu’ils n’ont pas demandées ou pour les vendre à une autre entreprise, vous abusez de ces informations. En vertu du RGPD, vous devez dire aux gens quelles données vous collectez et ce que vous avez l’intention d’en faire. Et vous devez leur demander d’accepter expressément cela - vous ne pouvez pas supposer qu’ils sont d’accord et leur demander de dire s’ils ne le sont pas. Vous devez les inciter à s’inscrire et non à se retirer.

Une autre exigence introduite par le RGPD est que vous devez pouvoir démontrer qu’aucune discrimination n’est possible lorsque les données personnelles sont traitées automatiquement. Vous devez également être en mesure de mettre fin au traitement automatique des informations d’une personne à sa demande et de prendre la décision manuellement.


Stockez ou traitez-vous des données personnelles sur de nombreuses plateformes ?

Est-il difficile pour votre organisation de trouver rapidement tous les domaines de votre entreprise où vous pourriez stocker des données personnelles ? Pouvez-vous facilement identifier le type d’informations que vous détenez sur un résident de l’UE (par exemple, s’il s’agit d’un résident de l’UE, s’il a consenti et quand, si les données sont sensibles) ?

Le RGPD vise à protéger les données personnelles. Si vous ne pouvez pas prouver que vous contrôlez les données que vous détenez, votre capacité à les protéger est mise en doute.

Vous devez documenter l’acquisition, le stockage et l’utilisation des données personnelles des résidents de l’UE dans tous les domaines de votre organisation. Vous devez également avoir une stratégie de protection des données en place et vous assurer qu’elle est toujours à jour. Ces enregistrements sont nécessaires pour montrer la conformité au RGPD.

Une attention particulière doit être portée à la protection des données sensibles et vous devez prouver que vous devez les traiter. Le RGPD est explicite sur les cas dans lesquels vous pouvez le faire, et vous devrez montrer que vous correspondez à l’une des catégories et respectez toutes les restrictions nationales.


Traitez-vous des données personnelles qui pourraient être considérées comme sensibles ?

Conservez-vous ou utilisez-vous des données personnelles sensibles telles que les dossiers de santé, les dossiers financiers, l’appartenance politique ou d’autres informations que les gens pourraient considérer comme privées ? Peut-on y accéder sans laisser de trace ?

Les données sensibles nécessitent une protection spéciale. Le RGPD est explicite sur les cas dans lesquels vous pouvez stocker des données sensibles appartenant à des résidents de l’UE, et vous devrez montrer que vous correspondez à l’une des catégories et respectez toutes les restrictions nationales.

Le RGPD exige que des précautions particulières soient prises pour limiter l’accès aux données personnelles, c’est pourquoi tous les accès doivent être enregistrés. Toute violation des données personnelles doit être signalée à l’autorité de contrôle de la protection des données (APD) sans retard indu, et au plus tard dans les 72 heures après avoir pris connaissance de la violation. Si la violation concerne des informations présentant un risque élevé pour les droits ou libertés de la ou des personnes, vous devrez en informer directement les personnes concernées.


Si vous avez répondu oui à l’une des questions, nous vous recommandons de vous informer de ce que vous devez faire pour vous conformer au RGPD. Notre évaluation de l’impact sur la confidentialité du RGPD peut vous aider. Contactez-nous