Même lorsqu'elles ne vendent pas par internet, le respect du RGPD se traduit par de nombreuses obligations pour les entreprises et les sanctions en cas de négligence sont généralement conséquentes. Pour être sûr d'être en conformité, voici la nouvelle édition du guide (gratuit) de la CNIL.
RGPD : de nouveaux droits pour vos clients ou prospects et de nouvelles obligations pour les entreprises
- Article publié le 31 janv. 2018
Le RGPD est un nouveau règlement européen qui entre en vigueur le 25 mai prochain dans tous les Etats de la communauté européenne et qui pourrait avoir des incidences importantes pour de très nombreuses entreprises, y compris les PME et les TPE.
Ce règlement, élaboré par la Commission européenne, a pour finalité de permettre aux personnes physiques :
- d'une part, de mieux protéger leur vie privée en gardant la maîtrise sur les informations à caractère personnel que collectent et conservent les entreprises ou les organismes à leur sujet ;
- d'autre part, d'être assurées que ces informations sont suffisamment protégées.
Qu'entend-on par données à caractère personnel ?
Au sens de ce règlement, constitue une « donnée à caractère personnel », toute information qui permet, directement ou indirectement, d'identifier une personne physique, notamment :
- un prénom et un nom ;
- une adresse personnelle ;
- une adresse e-mail telle que prénom.nom@entreprise.com ;
- un numéro de carte d’identité ;
- des données de localisation (par exemple: la fonction de localisation d’un téléphone portable) ;
- une adresse de protocole internet (IP) ;
- un cookie ;
- etc.
Dès lors que de telles données sont collectées, enregistrées et conservées, que ce soit par internet ou autrement, et quel que soit le statut des personnes concernées – salariés de l'entreprise, clients, prospects, etc. – le RGPD s'applique.
BtoB ou BtoC ?
On l'appelle communément RGPD (pour Règlement Général sur la Protection des Données), mais son titre exact est « Règlement relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ».
Ce titre l'indique donc clairement : seules les personnes physiques bénéficient des protections issues de ce règlement. Cependant, il peut aussi bien s'agir de particuliers que de commerçants ou d'artisans exerçant en nom propre, ou encore de professions libérales. Et il importe peu, par exemple, qu'une adresse soit privée ou professionnelle. Dès lors qu'il s'agit de l'adresse d'une personne physique, elle est protégée.
A contrario, les données se rapportant à des personnes morales (sociétés, associations, etc.) ne sont pas concernées.
Incidences du nouveau règlement
Ce nouveau règlement s'impose à tout organisme, qu'il soit public ou privé, et il crée bien sûr de nouvelles obligations pour la quasi totalité des entreprises, y compris les TPE et les PME, dès lors que celles-ci disposent de fichiers, notamment de salariés, de clients ou de prospects.
En nous limitant à l'essentiel (le texte original compte 99 articles et près d'une centaine de pages), nous vous proposons un résumé de ses principales dispositions dans les deux fiches qui suivent :
