Reprise partielle de notre article paru le
Artisan ou commerçant, vous avez mis en place votre fichier clients, ne serait-ce que pour votre suivi de facturation. Les données recueillies peuvent vous servir à la relation courante avec vos clients ou, par extension, aller jusqu’à faire des propositions commerciales, suivre les cartes de fidélité, …
La détention de ces données entre dans le cadre de la réglementation « Règlement Général sur la Protection des Données personnelles (RGPD) ». Quelles sont les traitements (utilisations) possibles et quelles actions mettre en place ?
Rappel, qu’est-ce qu’une « donnée personnelle » ?
Toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée « personne concernée ») est une donnée personnelle.
Est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, un ou plusieurs éléments spécifiques propres à l’identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale…
Catégories de données collectées
- État-civil, identité, données d’identification, images (ex. nom, prénom, adresse, photographie, date et lieu de naissance, etc.)
- Vie personnelle (ex. habitudes de vie, situation familiale, etc.)
- Vie professionnelle (ex. CV, situation professionnelle, scolarité, formation, distinctions, diplômes, etc.)
- Informations d’ordre économique et financier (ex. revenus, situation financière, données bancaires, etc.)
- Données de connexion (ex. adresses IP, logs, identifiants des terminaux, identifiants de connexion, informations d’horodatage, etc.)
- Données de localisation (ex. déplacements, données GPS, GSM, …)
- Internet (ex. cookies, traceurs, données de navigation, mesures d’audience, …)
- …
Des utilisations courantes des données collectées
Objectif principal d’une application informatique de données personnelles, ces données ont pour finalité, par exemples :
- Gestion des clients, envoi d’offres, d’invitations, programme de cartes de fidélité, suivi du « volume d’affaires », facturation, propositions de ristournes, …
- Enquête de satisfaction, invitations « ventes privées », relance en cas de non réponse, avis après visite au magasin, …
- Gestion des recrutements,
- Surveillance des locaux, etc.
Qu’appelle-t-on « traitement de données » ?
L’article 4 du RGPD définit un traitement comme « [une] opération ou [un] ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel,… »
Sont ainsi considérés comme des traitements :
- la collecte,
- l’enregistrement,
- l’organisation,
- la conservation,
- la structuration,
- l’adaptation ou la modification,
- l’extraction,
- la consultation,
- l’utilisation,
- la communication par transmission,
- la diffusion ou toute autre forme de mise à disposition,
- le rapprochement ou l’interconnexion,
- la limitation,
- l’effacement ou la destruction.
VIGILANCE, arnaquesDes entreprises et sociétés commerciales peu scrupuleuses profitent de cette réglementation pour faire des offres de services payantes et agitent le « chiffon rouge » de la sanction pour tenter d’influencer les chefs d’entreprise. Ne cédez pas à ces injonctions, mais profitez en pour vous interroger et faire le point sur votre conformité au RGPD ; souvent, vous n’aurez que peu de choses à ajuster, mais encore faut-il examiner sa situation. |
Rappel des fondements de la RGPD
- Le consentement « explicite » et « positif » : les entreprises et organismes doivent donner aux citoyens davantage de contrôle sur leurs données privées ;
- Le droit à l’effacement (version allégée du droit à l’oubli) : la personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l’obligation d’effacer ces données à caractère personnel dans les meilleurs délais pour 6 motifs bien précis (article 17) ;
- Le droit à la portabilité des données personnelles : les personnes concernées ont le droit de recevoir les données à caractère personnel les concernant qu’elles ont fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine, et ont le droit de transmettre ces données à un autre responsable du traitement. Lorsque la personne concernée exerce son droit à la portabilité des données en application du paragraphe 1, elle a le droit d’obtenir que les données à caractère personnel soient transmises directement d’un responsable du traitement à un autre, lorsque cela est techniquement possible (article 20) ;
- le profilage : toute personne a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire (article 22 du règlement).