Parmi les nombreuses communications, le plus souvent contradictoires, reçues au sujet du nouveau Règlement Général pour la Protection des Données (RGPD) difficile de s’y retrouver !
Le RGPD n’est, bien évidemment, pas une réglementation à prendre à la légère et demande certains ajustements importants au sein de toutes les entités commerciales.
Au travers de cet article, nous allons reprendre ensemble ce qui a vraiment changé pour votre société depuis le 25 mai dernier. Nous verrons également comment LUNDI MATIN sécurise votre activité conformément à cette nouvelle réglementation et quelles sont les bonnes pratiques à mettre en place au niveau de votre entreprise.
Le RGPD, c’est quoi au juste ?
Voté en 2016 et entré en application le 25 mai 2018, le Règlement Général pour la Protection des Données (RGPD ou GDPR pour General Data Protection Regulation en anglais) est le nouveau cadre européen concernant le traitement et la circulation des données à caractère personnel. Ce texte vient remplacer la directive sur la protection des données personnelles datant de 1995.
Un nouveau règlement européen, pour quels objectifs ?
Au regard de la vétusté de la précédente loi, il apparaissait nécessaire de créer une nouvelle réglementation qui tienne compte de l’exposition au numérique et des nouveaux usages des sociétés commerciales en matière d’utilisation des données à caractère personnel.
Cette mise à jour permet également d’harmoniser le panorama juridique européen afin de ne laisser plus qu’un seul cadre général s’appliquant aux différents états membres.
Qu’est-ce qu’une donnée personnelle ?
Une donnée à caractère personnel est une information qui permet d’identifier directement ou indirectement une personne physique. Il peut donc s’agir d’un nom, prénom, numéro de téléphone, d’une adresse email, postale, IP ou même d’une photographie ou empreinte.
Parmi les données collectées par les entreprises, certaines s’avèrent sensibles car elles contiennent des informations qui peuvent donner lieu à des préjugés ou de la discrimination. Ces données sont régies par un cadre bien particulier interdisant toute collecte préalable sans consentement écrit, clair et explicite, validé par la CNIL et dont l’intérêt public est avéré. Il s’agit par exemple d’informations sur la sensibilité religieuse, l’engagement politique, une situation médicale ou encore une appartenance ethnique.
Quels changements pour les particuliers ?
D’un point de vue individuel, le RGPD met en place ou conforte certaines protections vis-à-vis de l’utilisation des données personnelles. Les entreprises travaillant en B2C sont désormais obligées de recueillir un consentement écrit, clair et explicite avant toute utilisation de ces données.
Conformément aux différentes lois nationales déjà d’actualité, le RGPD renforce la reconnaissance d’un droit à l’oubli afin d’obtenir le retrait ou l’effacement des données personnelles. C’est également le cas pour le droit à la portabilité des données pour passer d’un système informatique à un autre.
Et pour les entreprises ?
Toute entité (société, association, sous-traitant, etc.) manipulant des données à caractère personnel d’une personne européenne doit se conformer à cette nouvelle réglementation. Le RGPD concerne donc non-seulement les sociétés européennes mais aussi les organisations établies en dehors de l’Europe.
En ce sens, ce règlement impacte directement les GAFA, Uber et autres multinationales qui fournissent des produits et services sur le continent européen.
Quelles sanctions sont prévues par le RGPD ?
Dans l’idée de pénaliser de manière proportionnelle petits et grands acteurs de l’économie, les amendes appliquées iront jusqu’à 4% du chiffre d’affaires annuel mondial total de l’organisation en infraction. Ce nouveau règlement cible donc particulièrement les géants du net qui devraient débourser plusieurs centaines de millions de dollars si une procédure venait à être lancée contre eux.
Cependant, les multinationales possèdent de nombreux experts qui travaillent au quotidien sur cette question de RGPD. Les TPE et PME sont donc plus fragiles à cet égard car elles n’ont pas forcément les ressources humaines et financières à consacrer à leur mise en conformité.
Il est donc important pour toute société de consacrer du temps à la mise en place d’actions afin de se mettre en conformité. Il est également nécessaire de s’entourer des bons prestataires de services et sous-traitant afin de ne pas se retrouver menacé à cause du manquement d’une de ces parties prenantes.
En quoi LUNDI MATIN sécurise mon activité au regard de cette nouvelle réglementation ?
En tant que fournisseur de services à destination des entreprises, LUNDI MATIN a toujours affiché un engagement fort en matière de transparence et de liberté. Ainsi, le RGPD s’inscrit pleinement dans notre philosophie et confirme par ailleurs de nombreux engagements pris par notre structure depuis sa création en 2007.
Au 25 mai dernier, le logiciel Lundi Matin Business (LMB) et les caisses tactiles RoverCash et AirKitchen étaient d’ores et déjà conformes vis-à-vis de cette réglementation.
Cet ajustement européen n’a donc pas directement impacté LUNDI MATIN du fait de notre travail régulier en ce qui concerne la protection des données de nos clients, et des clients de nos clients. Cependant, cette loi impacte de manière plus importante nos clients que nous accompagnons en ce sens via des missions de conseil et des fonctionnalités logicielles adéquates.
Engagements de LUNDI MATIN au regard du Règlement Général pour la Protection des Données :
- Mise en place de mesures physiques et techniques appropriées pour protéger les informations que nous collectons au sein de nos systèmes informatiques ;
- Mise en place de mesures et procédures organisationnelles afin de garantir le bon usage des données collectées ;
- Non-transfert des données en dehors de l’Union Européenne et/ou de pays offrant un niveau de protection jugé inadéquat par la Commission européenne ;
- Information de nos clients en cas de violation de données personnelles ;
- Formation continue d’un DPO (Data Protection Officer) dont le rôle est de contrôler la mise en conformité au RGPD.
Chez LUNDI MATIN, nous utilisons les données que nous collectons dans le but de :
- Fournir à nos clients les produits et services demandés ;
- Mettre en oeuvre une assistance utilisateur personnalisée ;
- Comprendre la manière dont nos clients utilisent nos solutions afin de mieux les satisfaire ;
- Mieux comprendre nos clients et prospects de façon à leur proposer les communications les plus adaptées ;
- Proposer des publicités et contenus promotionnels personnalisés.
Malgré ces adaptations contractuelles et logicielles, le fait de posséder un bon outil de gestion ou d’encaissement ne suffit pas. En effet, répondre positivement aux différentes contraintes du RGPD passe surtout par la mise en place de bonnes pratiques au sein de sa structure.
Quelles sont les bonnes pratiques à suivre au quotidien pour valider sa conformité au RGPD ?
Afin de vous accompagner au mieux dans la mise en place d’une politique durable et performante en matière de protection des données, voici les 6 principales bonnes pratiques à mettre en place au sein de votre société :
Terme RGPD | Mise en application |
Consentement | Il s’agit d’un acte positif clair (aussi appelé opt-in) ou l’individu manifeste son accord au traitement de ses données à caractère personnel. En cas de litige, c’est désormais à la société de démontrer qu’elle a bien reçu l’autorisation préalable et non à l’individu de prouver le contraire (comme c’était le cas jusqu’à présent). |
Droit à l’oubli | Obligation pour votre entreprise d’effacer dans les meilleurs délais les données à caractère personnel sous plusieurs motifs. C’est notamment le cas lorsque les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou lorsque les données à caractère personnel ont fait l’objet d’un traitement illicite. |
Droit à la portabilité | La portabilité permet à toute personne de récupérer ses données collectées par une Organisation A pour les transférer à une Organisation B, ou pour les stocker. Il a pour objectif d’éviter la rétention des utilisateurs par la donnée. |
Accountability | Mettre en oeuvre des mécanismes et procédures internes permettant de démontrer le respect des règles relatives à la protection des données de vos clients. Il s’agit ici d’être en capacité de prouver votre conformité avec ce nouveau règlement et les mesures prises pour s’y conformer. |
Data Protection Officer (DPO) | Le Délégué à la Protection des Données est la personne en charge dans votre organisation de la conformité de tous les traitements de données. Interne ou externe, son rôle est de contrôler la mise en conformité au RGPD. |
Transfert de données | Par principe, tout transfert de données en dehors de l’Union Européenne est interdit. |
LUNDI MATIN à votre écoute…
Pour toute question relative au RGPD, vous pouvez contacter le service administratif de LUNDI MATIN à l’adresse comptabilite@lundimatin.fr.
Nos équipes commerciales, marketing, projet et support sont également disponibles pour répondre à vos interrogations et vous accompagner dans cette transition !