Protection des données personnelles : le guide ultime

Le traitement des données personnelles, notamment sur les sites internet, interpelle de plus en plus les Français. Ces derniers recherchent une plus grande transparence et un contrôle plus efficace de l’utilisation de leurs données. La mise à disposition d’une charte sur le respect de la vie privée est d’ailleurs obligatoire pour l’ensemble des site traitant des données personnelles.

L’entrée en application du Règlement général sur la protection des données (RGPD) a fait couler beaucoup d’encre. Mais qu’entend-on véritablement par protection des données personnelles ? Quelles sont les conséquences pour l’activité quotidienne de votre entreprise ? Pourquoi mettre en ligne un modèle de politique de confidentialité ?

Qu’est-ce que la protection des données personnelles ?

Les données personnelles regroupent toutes les informations qui permettent d’identifier directement (ex : nom et prénom) ou indirectement (ex : n° de téléphone) une personne physique. Voici une liste non-exhaustive de données personnelles :

l’identité et les coordonnées : nom, prénoms, date de naissance, adresse postale, adresse email, etc.
les numéros d’identification : n° de passeport, n° de sécurité sociale, etc.
les informations financières et bancaires : RIB et IBAN, n° de carte bancaire, etc.
les données de géolocalisation
les habitudes de comportement : comportement d’achat, goûts, etc.
l’image et la voix.

Ces données personnelles, dès leur collecte, ont vocation à être utilisées dans un but précis. Une entreprise ne peut collecter des données sans raison.

Exemple : elle doit le faire pour la gestion de son fichier client ou la mise à jour d’un service de fidélisation.

Le processus est appelé “traitement des données personnelles”. Par cette expression, on parle de toutes les opérations réalisées sur les données personnelles, comme la communication à un partenaire par exemple, mais également la consultation de ces données, leur enregistrement... Ce traitement fait l’objet d’une politique de confidentialité.

La protection des données personnelles en France concerne toutes entreprises, des TPE aux ETI. Chaque dirigeant d’entreprise est concerné par la réforme sur la protection des données personnelles, ou RGPD.

À noter : de nombreux entrepreneurs se demandent qui est concerné par le RGPD, alors n’attendez plus et découvrez notre fiche pratique sur le sujet.

Quelles autorités assurent la protection des données personnelles ?

La CNIL (Commission Nationale de l’Informatique et des Libertés) est l’actrice principale de la protection des données personnelles en France. Il s’agit d’une autorité de contrôle.

Elle peut délivrer des certifications attestant de l’utilisation adéquate des données personnelles des utilisateurs, mais également des salariés de l’entreprise.

Exemple : les données présentes sur un bulletin de salaire ou sur une candidature doivent être traitées en respectant le RGPD.

À côté de cela, les entrepreneurs peuvent compter sur l’ANSSI (l’Agence Nationale de la Sécurité des Systèmes d’Information). Cette agence propose aussi des solutions numériques fiables ou encore des informations concernant les bonnes pratiques de l’hygiène informatique.

Au sein des entreprises, plusieurs acteurs mettent également en œuvre la protection des données personnelles. Le délégué à la protection des données, présent dans certaines entreprises, est chargé d’informer et de conseiller l’entité sur les règles à mettre en place pour renforcer la protection des données.

Bon à savoir : il n’est pas toujours nécessaire de faire appel à ce délégué, sauf si vous estimez que le traitement de données fait partie intégrante de votre entreprise (si vous avez des données sensibles, ou en grande quantité).

Le responsable du traitement des données, qui peut être incarné par une entreprise ou une personne physique, doit engendrer une transition efficace vers un régime plus transparent et plus simple concernant la protection des données personnelles. C’est ce responsable qui met en place la protection des données au sein d’une entreprise et organise la sécurisation des données des clients, salariés…

En pratique : il s’agit souvent de l’entreprise elle-même.

Quelle réglementation pour la protection des données personnelles ?

La transparence concernant l’utilisation des données

La protection des données personnelles permet d’apporter plus de transparence à la gestion de ces données. Les chartes relatives à la protection des données personnelles permettent aux entreprises de détailler toute l’utilisation des données et les moyens mis en place pour les protéger.

Aujourd’hui, tout est mis en œuvre pour donner au consommateur une plus grande marge de manœuvre concernant ces données.

Exemple : n’importe quel consommateur a un droit d’accès à ses données, il peut également s’opposer à leur traitement ou demander une rectification. Les enfants de moins de 16 ans bénéficient également d’une protection de leurs données personnelles plus accrue.

Le droit à l’information

L’entité qui souhaite conserver des données personnelles doit informer son client :

de l’objectif poursuivi ;
des personnes ayant accès à ces données
de la durée de conservation ;
de toutes les informations qu’il serait utile de porter à la connaissance du client.

Cette information doit avoir lieu au moment de la collecte si celle-ci est directe. Cependant, si la collecte est indirecte, l’entité doit prévenir le consommateur dans un délai d’un mois.

Tout changement dans l’objectif poursuivi ou dans le traitement des données doit faire l’objet d’une notification au consommateur concerné.

Exemple : cette information se traduit par exemple par l’utilisation de cookies informatiques, que le consommateur peut accepter ou non. Aujourd’hui, vous devez donner la possibilité à l’utilisateur de refuser facilement les cookies. Pour le laisser faire son propre choix, n’hésitez pas à expliquer clairement l’objectif poursuivi via l’utilisation des cookies. Par exemple, il faut expliquer que certains cookies servent à personnaliser la circulation sur le site.

La politique d’utilisation des données se retrouve dans les mentions légales obligatoires sur internet. En effet, ces dernières doivent être conformes à la nouvelle réglementation sur les données personnelles.

Les sanctions

Pour permettre une protection efficace des données personnelles, les sanctions se sont également intensifiées. On parle alors de sanctions administratives et pénales. Parmi elles, on note la possibilité de suspendre le flux de données ou même le traitement de ces données. Il peut également s’agir d’ordres délivrés à l’entité, comme celui de rectifier ou d’effacer les données contestées. Les entreprises ayant une certification concernant le traitement des données des consommateurs peuvent se la faire retirer.

Plus directement, ces entités peuvent recevoir des amendes administratives, allant jusqu’à 20 millions d’euros ou représentant 2 à 4% du chiffre d’affaires annuel mondial (la sanction étant délivrée pas uniquement par les autorités françaises, mais par toute l’Union Européenne).

D’un point de vue pénal, la peine est de 5 ans d’emprisonnement de 300.000€ d’amende en cas de mauvais traitement des données à caractère personnel.

Comment mettre le RGPD en place dans votre entreprise ?

Vous êtes dirigeant d’une PME ou d’une TPE ? Pas de panique, voici quelques recommandations pour que la transition vers un système plus fiable se passe pour le mieux :

commencez par recenser tous les fichiers qui contiennent les données clients, concernés par la RGPD ou de votre personnel ;
résumez pour chaque fichier les données conservées, l’objectif poursuivi, la durée de conservation et les personnes ayant accès à ces données ;
faites le tri dans ces données, effacez celles qui sont à risque, ou dont la durée de conservation est dépassée ;
sécurisez les données : cela passe par une meilleure politique de protection des mots de passe.

Exemple : exigez de vos utilisateurs qu’ils choisissent un mot de passe avec différents caractères, des majuscules, minuscules et des chiffres.

Si vous appliquez cela, vous allez donner confiance à vos clients. Ils seront plus sereins lors de leur navigation sur votre site. Vous pourrez également témoigner d’une meilleure gestion de votre site et de ses données.

À noter : pour obtenir plus de renseignements sur la mise en place du RGPD en association, découvrez notre fiche dédiée.

Politique de confidentialité en 2024

4 mn
La politique de confidentialité d’un site web est devenue un document incontournable avec l’entrée en vigueur du RGPD. Modèle et exemple de politique de confidentialité.
Lire la suite
Données personnelles : les bonnes pratiques

3 mn
Les données personnelles sont de plus en plus réglementées. De nombreuses obligations doivent être respectées par les entrepreneurs. On fait le point.
Lire la suite
Collecte de leads et RGPD : comment être en règle ?

4 mn
La collecte de leads suppose le respect de multiples obligations éditées par le RGPD. Découvrez toutes les pratiques à adopter pour être en règle.
Lire la suite
RGPD : zoom sur les mentions d'information

4 mn
Vous êtes responsable de traitement ? Découvrez les mentions d'information RGPD à fournir lorsque vous traitez des données à caractère personnel.
Lire la suite
Conformité au RGPD : quelles sont les nouvelles mentions légales ?

3 mn
Quelles sont les mentions légales obligatoires pour mettre un site internet en conformité au RGPD ? Quelles sont les mentions légales RGPD ?
Lire la suite
Conditions générales de vente : tout savoir pour être en conformité avec le RGPD

3 mn
Quelles sont les modifications à faire pour mettre vos conditions générales de ventes en conformité avec le RGPD ? On fait le point.
Lire la suite