Que vous soyez artisan ou commerçant, la simple détention de données concernant vos clients entre dans le cadre de la réglementation RGPD. Quelles sont les traitements (utilisations) possibles et quelles actions mettre en place ?
Traitement
L’article 4 du règlement définit un traitement comme « [une] opération ou [un] ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel,… »
Sont ainsi considérés comme des traitements :
- la collecte,
- l’enregistrement,
- l’organisation,
- la structuration,
- la conservation,
- l’adaptation ou la modification,
- l’extraction,
- la consultation,
- l’utilisation,
- la communication par transmission,
- la diffusion ou toute autre forme de mise à disposition,
- le rapprochement ou l’interconnexion,
- la limitation,
- l’effacement ou la destruction.
Donnée personnelle
Toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée « personne concernée ») est une donnée personnelle.
Est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, un ou plusieurs éléments spécifiques propres à l’identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale…
Catégories de données collectées
- État-civil, identité, données d’identification, images (ex. nom, prénom, adresse, photographie, date et lieu de naissance, etc.)
- Vie personnelle (ex. habitudes de vie, situation familiale, etc.)
- Vie professionnelle (ex. CV, situation professionnelle, scolarité, formation, distinctions, diplômes, etc.)
- Informations d’ordre économique et financier (ex. revenus, situation financière, données bancaires, etc.)
- Données de connexion (ex. adresses IP, logs, identifiants des terminaux, identifiants de connexion, informations d’horodatage, etc.)
- Données de localisation (ex. déplacements, données GPS, GSM, …)
- Internet (ex. cookies, traceurs, données de navigation, mesures d’audience, …)
- …
Finalités
Objectif principal d’une application informatique de données personnelles. Exemples de finalité :
- Gestion des clients, envoi d’offres, d’invitations, programme de cartes de fidélité, suivi du « volume d’affaire », facturation, propositions de ristournes, …
- Enquête de satisfaction, invitations « ventes privées », relance en cas de non réponse, avis après visite au magasin, …
- Gestion des recrutements,
- Surveillance des locaux, etc.
Rappel des fondements de la RGPD
- Le consentement « explicite » et « positif » : les entreprises et organismes doivent donner aux citoyens davantage de contrôle sur leurs données privées ;
- Le droit à l’effacement (version allégée du droit à l’oubli) : la personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l’obligation d’effacer ces données à caractère personnel dans les meilleurs délais pour 6 motifs bien précis (article 17) ;
- Le droit à la portabilité des données personnelles : les personnes concernées ont le droit de recevoir les données à caractère personnel les concernant qu’elles ont fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine, et ont le droit de transmettre ces données à un autre responsable du traitement. Lorsque la personne concernée exerce son droit à la portabilité des données en application du paragraphe 1, elle a le droit d’obtenir que les données à caractère personnel soient transmises directement d’un responsable du traitement à un autre, lorsque cela est techniquement possible (article 20) ;
- le profilage : toute personne a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire (article 22 du règlement).
Bonjour,
Si je comprends bien, les données concernant les personnes morales ne sont pas concernées par cette règlementation. Ai-je bien compris ? Et, lorsque l’adresse du siège social se situe chez une personne physique, souvent son président pour une association, comment lui envoyer un courrier sans détenir son adresse postale ?
Bonjour,
La RGPD ne doit ni gêner ni modifier la relation normale et courante des « structures » avec leurs interlocuteurs habituels, mais elle dit, en substance, que les « interlocuteurs » doivent être avertis/informés par la « structure » de l’utilisation qu’elle fait des données qu’elle a recueillies sur eux.
Par conséquent, l’envoi d’un courrier au président d’une association « domiciliée » chez un particulier reste évidemment praticable, dès lors que l’émetteur dudit courrier s’est conformé aux règles de la RGPD.
Bien cordialement,