Le RGPD

Une nouvelle loi au sujet de la réglementation des données vient d’entrer en vigueur. L’acronyme RGPD est rapidement devenu un important sujet d’actualité. Alors de quoi s’agit-il ?

Nous tentons aujourd’hui de répondre aux nombreuses interrogations qui planent autour de cette loi, afin de soulever toutes les inquiétudes.

Qu’est ce que le RGPD ?

Le sigle RGPD signifie Règlement Général sur la Protection des Données. Il s’agit d’une nouvelle loi européenne qui concerne toutes les entreprises et les administrations européennes lorsqu’elles sont amenées à exploiter des données personnelles. Elle a été créée pour mieux encadrer les conditions de collectes et de conservation de ces données.

Depuis quand cette loi est-elle applicable ?

Le RGPD a été voté il y a 2ans, en avril 2016. Cependant, il a fallu attendre le 26 mai 2018 pour qu’il entre en vigueur.

A qui s’adresse-t-elle ?

La loi du RGPD s’applique à toutes les entreprises européennes, à celles qui ont des clients européens, mais également tous les établissements qui affichent leur tarification en Euros.

Quel est son but ?

Le RGPD a été mis en place dans le but de créer une unité au niveau européen, au sujet de la législation sur le traitement des données personnelles. Elle vise à construire un marché numérique unique pour toute l’Europe et ainsi faciliter l’accès à ces données pour toutes les entreprises.

Quelles sont les données concernées ?

De manière générale, le RGPD concerne toutes les données personnelles que possèdent les entreprises, qu’il s’agisse de celles des employés/salariés, des clients ou des fournisseurs.

Une donnée personnelle correspond aux informations permettant d’identifier directement ou indirectement un individu.

Il en existe deux types :

  • Données dites génériques : Nom, prénom, date de naissance, situation familiale, numéro de téléphone, adresses mail et postale ou encore une photo. En tant que professionnels, vous y serez quotidiennement confrontés, dès l’instant où vous possédez une base de données / fichier clients.
  • Données dites sensibles : Origines ethniques ou raciales, croyances religieuse, opinions politiques ou philosophiques, orientation sexuelle, informations liées à la santé, etc. Concernant les instituts de beauté, les données telles que le type de peau, la morphologie peuvent être considérées comme sensibles. Pour détenir ce genre de renseignements, un consentement explicite du client est obligatoire. Ces données requièrent plus de précaution que les génériques.
Quel est le rôle des professionnels vis-à-vis de cette loi ?

En France, la CNIL (Commission Nationale Informatique et Libertés) est l’autorité en charge de surveiller et contrôler les entreprises exploitant des données. Cet organisme est le seul ayant l’autorisation de sanctionner lorsque c’est nécessaire.

En tant que professionnels, il est possible que vous endossiez plusieurs rôles.

  • Le Contrôleur des données est responsable des données. Dans votre cas, il s’agit de votre établissement (salon / institut) dans sa globalité. C’est vers lui que la CNIL se tournera en cas de contrôle.
  • Le gérant du point de vente est généralement désigné comme le Chef de la protection des données. Il assure la sécurité de vos fichiers clients et de leur contenu.
  • Chaque salarié qui collecte des données en demandant par exemple, le nom – prénom et adresse mail d’un client, portera le rôle de Processeur de données.

Si vous utilisez un logiciel de caisse, nous vous conseillons d’aborder le sujet de la gestion de vos données directement avec les développeurs. Il est possible qu’ils s’en chargent dans l’intégralité et assurent leur protection. Vous serez, dans ce cas, uniquement responsable de la collecte des données.

Quelles peines risque-t-on en cas de non-respect de la loi RGPD ?

Lors d’un contrôle, si une entreprise est reconnue comme ayant enfreint la loi du RGPD, une amende plus ou moins conséquente peut être délivrée par la CNIL.

  • Pour une faute mineure : 2% du Chiffre d’affaires annuel de l’entreprise sera demandé comme sanction pour des manquements aux Privacy by Design, Privacy by Default (par exemple)
  • Dans le cas d’une faute majeure : l’amende peut aller jusqu’à 4% du Chiffre d’affaires annuel lorsqu’il y a eu non-respect du droit des personnes tel que le droit d’accès, d’opposition, de rectification, etc.
Voici les étapes à suivre pour être dans les règles :

Le RGPD garantie aux utilisateurs un certain nombre de droits. Les entreprises doivent alors s’assurer de respecter quelques obligations.

  • Commencez par nommer un membre de votre établissement comme le chef de la protection des données. Dans votre cas, nous vous conseillons de choisir le gérant de l’institut de beauté / salon de coiffure.
  • Faites une déclaration à la CNIL dans laquelle vous indiquerez les différentes activités de votre entreprise demandant une collecte et un traitement de données. Selon votre logiciel de caisse, cette tâche sera à la charge de la société du logiciel.

Lorsque c’est à vous de faire la démarche :

Pour chacune des activités, il vous faut indiquer la raison pour laquelle vous recueillez des données. Prenons l’exemple de la gestion des clients. Vous collectez les informations personnelles de votre clientèle dans l’objectif de mieux la connaître pour pouvoir, par la suite, la fidéliser.

Précisez ensuite les catégories de données que vous utilisez. Toujours vis-à-vis de votre clientèle, vous demandez généralement : nom, prénom, date de naissance, contact (mail, téléphone, adresse postale), etc.

Vous devez lister chaque personne ayant un accès aux données. En gardant l’exemple de l’activité « gestion des clients », seuls le gérant et les salariés auront un droit de regard sur les données renseignées.

Pour terminer, précisez la durée de conservation des données, c’est-à-dire durée pendant laquelle elles seront exploitées et/ou archivées.

Retrouvez en annexe un modèle de fiche de registre pour réaliser votre déclaration.

  • Veillez à obtenir le consentement de vos clients au sujet de l’utilisation de leurs données personnelles. Dans le cas de futurs clients, soumettez-leur une fiche de renseignements à remplir et signer. Ils pourront ainsi, uniquement, vous fournir les informations de leur choix. Cette fiche sera une preuve écrite de leur accord.

Nous vous proposons, joint à cet article, un exemple de fiche de renseignement

  • Vos clients actuels doivent être informés de la manière dont vous exploitez leurs données personnelles. Pour cela, nous vous conseillons de lancer une campagne de mails en envoyant, pour chaque client, une fiche complète avec toutes les données les concernant.

Offrez-leur la possibilité de pouvoir, à tout moment, demander une modification voire une suppression des données utilisées pour votre fichier.

Toute suppression nécessite une demande écrite de la part de votre client. Vous disposez ensuite de 2 mois pour y répondre. En cas de refus ou de dépassement de ce délai, l’intéressé sera autorisé à vous attaquer pour infraction aux respects du droit des personnes.

  • Pour finir, assurez-vous d’être équipés des outils nécessaires à la protection de toutes vos données: logiciel, antivirus, etc.

 

Vous connaissez maintenant les points importants au sujet de la loi RGPD. Pensez à vérifier que toute l’exploitation et la gestion de vos données est aux normes.

Pour toutes questions ou le besoin d’informations supplémentaires, rendez-vous sur le site Internet de la CNIL.

0 réponses

Répondre

Se joindre à la discussion ?
Vous êtes libre de contribuer !

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *