PREMIÈRE INFORMATION: RGPD*, FAUT-IL DYNAMITER SA BASE DE DONNÉES?

christelle senard

*RGPD : RÈGLEMENT GÉNÉRAL EUROPÉEN DE PROTECTION DES DONNÉES PERSONNELLES.

Il s’agit du nouveau cadre européen concernant le traitement et la circulation des données à caractère personnel, ce sont ces informations sur lesquelles les entreprises et/ou les collectivités s’appuient pour proposer des services et des produits. Le texte est relatif à la protection des personnes physiques à l’égard du traitement de leurs données à caractère personnel et à la libre circulation de ces données. Ce texte couvre l’ensemble des résidents de l’Union européenne.

Nous savons que le secteur du tourisme institutionnel fait l’objet de nombreuses évolutions tant au niveau des tendances de communication : ouverture au web et aux nouvelles technologies, qu’au niveau de l’organisation structurelle des structures et des métiers.

Aussi il faut prendre en considération la mise en application du RGPD qui ne sera pas sans conséquence sur nos circuits de gestion des données. En tant qu’acteur institutionnel le traitement de ces données est devenu indispensable.

En effet que ce soit pour identifier des entreprises touristiques ou pour personnaliser l’expérience de nos clients nous manipulons chaque jour des centaines de données à protéger.

Il est donc important de prendre conscience de notre obligation de s’engager vers la conformité en accord avec la sensibilité des données manipulées ainsi que leur volume. Chacun prendra la mesure des actions à mettre en œuvre pour garantir la protection des données que nous traitons.

Afin de vous proposer une première information à ce sujet, répondons à ces questions :

Pourquoi ? Quels sont les objectifs du RGPD ?

L’objectif du RGPD est d’être le nouveau texte de référence dans l’Union européenne au sujet des données personnelles. Il s’agit aussi d’harmoniser les pratiques en matière de protection des données personnelles, afin qu’il n’y ait qu’un seul et même cadre qui s’applique. Les quatre grands objectifs poursuivis sont :

Le consentement. Il est stipulé que « le consentement devrait être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant, par exemple au moyen d’une déclaration écrite, y compris par voie électronique, ou d’une déclaration orale. » Le consentement peut être retiré à tout moment par les personnes le demandant.

La transparence. Les organisations doivent fournir aux individus des informations claires et sans ambiguïté sur la façon dont sont traitées leurs données. Celles-ci doivent être accessibles par tous, via des documents contractuels, des formulaires de collecte ou les pages « Confidentialité » des sites web.

Le droit des personnes. Les organisations n’auront plus qu’un mois (au lieu de deux) pour supprimer les données suite à une demande. Le droit à l’oubli ainsi que le droit à la portabilité des données sont des nouveautés. Ce dernier permet à un individu de récupérer les informations qu’il a fournies sous une forme réutilisable pour, le cas échéant, les transférer à un tiers.

Le principe de responsabilité (accountability). Les organismes doivent par exemple mettre en place des mesures adéquates pour garantir la sécurité des données. Elles doivent également appliquer le « privacy by design », un concept qui impose de réfléchir à la protection des données personnelles en amont de la conception d’un produit ou d’un service.

Quand ? A quelle date, le règlement entre-t-il en vigueur ?

Le RGPD est entré en vigueur le 25 mai 2018.

Après cette date, tout traitement en infraction avec le RGPD pourra déboucher sur des sanctions. Des amendes jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel de l’exercice précédent pourront être prononcées.

Cela étant dit, même si la conformité totale n’est pas atteinte à cette date, il est très probable qu’une indulgence sera appliquée aux structures prouvant leur prise de conscience et leur engagement vers la conformité.

Qui ? Qui est soumis à l’application du RGPD ?

Toute entité manipulant des données personnelles concernant des Européens doit s’y conformer, qu’il s’agisse d’une entreprise, d’un sous-traitant ou même d’une association. La taille de l’entreprise, son secteur d’activité ou son caractère public ou privé n’entre pas en ligne de compte.

Quoi ? Qu’est-ce qu’une donnée personnelle ?

Une donnée personnelle désigne « toute information se rapportant à une personne physique identifiée ou identifiable », selon le texte.

Il s’agit donc de toutes informations qui permettent d’identifier une personne physique, directement ou indirectement. Il peut s’agir d’un nom, d’une photographie, d’une adresse IP, d’un numéro de téléphone, d’un identifiant de connexion informatique, d’une adresse postale, d’une empreinte, d’un enregistrement vocal, d’un numéro de sécurité sociale, d’un mail, etc.

Certaines données sont sensibles, car elles touchent à des informations qui peuvent donner lieu à de la discrimination ou des préjugés : une opinion politique, une sensibilité religieuse, un engagement syndical, une appartenance ethnique, une orientation sexuelle, une situation médicale ou des idées philosophiques sont des données sensibles.

Où ? Dans quels « endroits » doivent-être stockés les données ?

Quel que soit l’endroit et le mode de stockage des données personnelles collectées, celles-ci seront soumises à l’application du RGPD.

Base de données prestataires, base de données prospects, cookies du site internet, fichier excel des bénévoles, du conseil d’administration et même données des fournisseurs en comptabilité et données des salariés au sein des ressources humaines sont des données personnelles dont il faut s’assurer que le traitement est identifié et sécurisé.

Les organisations vont donc devoir identifier tous les lieux de stockage des données personnelles pour pouvoir les identifier.

Comment ? Comment envisager la mise en œuvre du RGPD ?

La CNIL (il ne sera d’ailleurs plus nécessaire d’effectuer de déclaration) propose une méthodologie en 6 étapes :

  1. Désigner un pilote

Véritable chef d’orchestre pour la gouvernance des données personnelles de la structure, il exercera une mission d’information, de conseil et de contrôle en interne.

  1. Cartographier les traitements des données personnelles

Il s’agit de recenser de façon précise à la fois les données collectées et conservées (la nature des données, leur durée de conservation…) mais aussi leur traitement et leur utilisation en amont et en aval de la collecte.

  1. Prioriser les actions

Une fois les données et leur traitement identifiés, il faudra étudier les actions à mettre en œuvre pour se conformer au règlement. La priorisation pourra se faire au regard des risques afférents.

  1. Gérer les risques

Selon le risque encouru par les données et leur traitement, il conviendra peut-être d’apprécier via des études d’impacts sur la protection des données.

  1. Organiser les processus internes

Afin que la protection des données soit assurée lors de l’ensemble de la vie d’une donnée personnelle, il est indispensable de mettre en place des procédures en interne qui garantissent que cette préoccupation est prise en compte.

  1. Documenter la conformité

Pour prouver la conformité au règlement, il conviendra de constituer et de regrouper l’ensemble des documents nécessaires : registre des traitements, mentions d’informations, recueil des consentements, etc.

Ce qu’il faut retenir ? S’engager vers la conformité.

Il est essentiel de garder en tête que le RGPD a pour but de protéger les citoyens, nous y compris, de l’exploitation abusive de leurs données en accordant aux individus des droits en regard de leurs données personnelles :

  • Droit d’être informé
  • Droit d’accès à ses données
  • Droit de rectification des données
  • Droit à l’oubli
  • Droit de restriction
  • Droit d’usage des données
  • Droit d’opposition
  • Droit de prise de décision individuelle automatisée

Pour cela les organisations doivent s’engager à respecter les principes suivants :

  • Transparence
  • Restriction ou minimalisation d’usage
  • Données justes et régulièrement mises à jour
  • Rétention des informations limitée dans le temps

Quelques ressources ?

  • Le texte de référence

http://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:32016R0679&from=FR

  • Les obligations en matière de protection des données :

https://www.service-public.fr/professionnels-entreprises/vosdroits/F24270

  • Les étapes du RGPD, centre de ressources de la CNIL

https://www.cnil.fr/fr/principes-cles/rgpd-se-preparer-en-6-etapes

Vidéos explicatives :

SPREAD : https://www.youtube.com/playlist?list=PLuQRA2ya9-BluC6w8rsf_d_2U9ykxixwp

Cookie connecté : https://www.youtube.com/watch?v=OUMGp3HHel4

VOTRE CONTACT: TOURISME LOIRET

Christelle Sénard

christelle.senard@tourismeloiret.com / 02.38.78.04.03