Notion large que celle des données personnelles.

Art. 2 de la loi "Informatique et libertés"

" Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. […] La personne concernée par un traitement de données à caractère personnel est celle à laquelle se rapportent les données qui font l’objet du traitement ".

La protection de la vie privée est un droit fondamental et la CNIL rappelle que « des données que vous pourriez considérer comme anonymes peuvent constituer des données à caractère personnel si elles permettent d’identifier indirectement ou par recoupement d’informations une personne précise. Il peut en effet s’agir d’informations qui ne sont pas associées au nom d’une personne mais qui permettent aisément de l’identifier et de connaître ses habitudes ou ses goûts. »

Il est donc impératif en tant qu’entreprise de s’informer sur les lois en vigueur et de bien s’assurer que la récolte, l’utilisation et le stockage de données sont bien en conformité avec les réglementations.

Les principaux points de la réglementation :

La mise en conformité passe par :

1. La mise en place d’une analyse d’impact. La CNIL propose un guide nommé « Privacy Impact Assessment » : https://www.cnil.fr/fr/PIA-privacy-impact-assessment
2. Le recueil du consentement du consommateur / utilisateur :   des réflexions vont arriver pour être en conformité avec le règlement et permettre aux entreprises de délivrer cette information de façon claire et précise (aujourd’hui le texte à intégrer en bas du site web par exemple est très long et peu claire)
3. La tenue d’un registre deviendra obligatoire pour certaines entreprises. Il est fortement recommandé de le faire : https://www.cnil.fr/fr/cartographier-vos-traitements-de-donnees-personnelles
4. La nomination d’un DPO (Data Privacy Officer) qui peut assurer au sein de l’entreprise :
5. Le droit d’accès à l’information si demande de l’utilisateur, droit de modification ou rectification et droit à l’effacement. Attention, une co-responsabilité peut être engagée entre sous-traitants et entreprise en cas de non-respect de ces principes par une des deux parties.
6. La portabilité et archivage des données dans le cadre de la prescription légale (données sur un serveur sécurisé pendant 5 ans, sur lequel seul le responsable juridique ou le DPO peut avoir accès).

Faut-il obligatoirement nommer un DPO ?

Oui, si les données exigent un suivi régulier et systématique à grande échelle des données. La nomination d’un DPO est recommandé car c’est un gage de sérieux, nécessaire pour les sous-traitants, et qui rassure les consommateurs. 

Il est possible de former ses salariés en interne, d’externaliser ce poste ou de faire appel à des services supports comme le service Virtual DPO : https://mondelegueauxdonnees.fr/  

Ces éléments ont été recueillis lors de l'intervention de Me Henri Leben auprès des start-up de LINCC le 26 janvier 2018 : JURIDIQUE [RGPD : quels impacts pour votre entreprise ?]

Henri Leben est avocat associé au cabinet colbertavocats, spécialiste des nouvelles technologies, de la propriété intellectuelle, de la concurrence et de la distribution. Il est également partenaire de la société Virtual-DPO.