A moins d'un mois de l'entrée en vigueur de ce nouveau règlement européen de protection des données personnelles, il est grand temps pour les entreprises de se mettre en conformité. Ce diaporama revient sur les principales dispositions du RGPD et les éléments à mettre en place du côté des entreprises, notamment dans le cadre des campagnes marketing.
2. • I – Objectifs et champ du RGPD
• II – Les droits renforcés des personnes
• III – Les nouvelles obligations des
entreprises
• IV – Comment se mettre en conformité
• Conclusion : le RGPD une opportunité?
avril 2018 2
6. Quelles
données sont
considérées
comme
personnelles?
avril 2018 6
Un produit acheté par un client
Une date de naissance
Un numéro de contrat salarié
Un stock produits
Un numéro de carte bancaire
Un numéro de référence client
Le CA de l’entreprise
7. Quelles
données sont
considérées
comme
personnelles?
avril 2018 7
■ Un produit acheté par un client
■ Une date de naissance
■ Un numéro de contrat salarié
Un stock produits
■ Un numéro de carte bancaire
■ Un numéro de référence client
Le CA de l’entreprise
8. Définition des données à caractère
personnelavril 2018 8
Exemples :
- Numéro de téléphone
- Un identifiant
- Des données de
localisation
- Une adresse IP
- Les données des objets
connectés…
Certaines données sont
considérées comme
sensibles (santé, vie
sexuelle, origine raciale,
opinions politiques,
religieuses ou syndicales) et
doivent être recueillies avec
le consentement exprès de
la personne.
Toute information qui permet d’identifier directement ou
indirectement une personne physique.
10. Quelles
actions sont
considérées
comme des
traitements de
données?
avril 2018 10
Une collecte de données via un
concours marketing
La revente de données à des
distributeurs
Un sondage du personnel sur la
future fête de fin d’année
Le calcul de la paie du personnel
L’hébergement des données clients
sur un serveur
Une note papier sur les clients à
rappeler dans la journée
11. Quelles
actions sont
considérées
comme des
traitements de
données?
avril 2018 11
■ Une collecte de données via un
concours marketing
■ La revente de données à des
distributeurs
■ Un sondage du personnel sur la future
fête de fin d’année
■ Le calcul de la paie du personnel
■ L’hébergement des données clients sur
un serveur
Une note papier sur les clients à
rappeler dans la journée
12. Définition du traitement de données à
caractère personnelavril 2018 12
Exemples :
- Collecte
- Enregistrement
- Organisation
- Conservation
- Adaptation
- Modification
Mais aussi :
- Extraction
- Consultation
- Utilisation
- Diffusion
- Destruction
Toute opération effectuée manuellement ou
informatiquement appliquée à des données personnelles.
13. avril 2018 13
RGPD : Règlement Général sur
la Protection des Données
GDPR : General Data
Protection Regulation
16. Un règlement européen
avril 2018 16
C’est un texte lourd (99 articles) et
sans doute fondateur.
Constitutionnel?
« Pour moi, le RGPD est un texte
historique. C’est un texte qui, demain,
se comparera peut-être au code civil
et aux droits sociaux » Gilles
Babinet, Digital Champion, avril 2018
Les Etats membres sont
contraints de l’appliquer
directement sans transposition
dans leur loi.
17. avril 2018 17
Les objectifs
du RGPD
• 1. Redonner au client la maîtrise de ses
données
– En l’informant des données que l’on collecte sur lui et de
ce qu’on en fait
– En lui permettant de disposer pleinement de ses données
( accès, rectification, suppression, portabilité…)
• 2. Responsabiliser les entreprises dans la
gestion de leurs données clients
• 3. Faire peser ces même règles sur les
entreprises hors UE
– En terme de données personnelles (ex GAFA) qui
proposent des produits ou services visant des résidents de
l’Union Européenne ou bien ayant trait au suivi de leur
comportement au sein de l’Union
– En faire un avantage concurrentiel pour les entreprises qui
s’y sont conformé.
18. Qui est concerné par le RGPD?
avril 2018 18
Le RGPD s’applique
à toute entreprise
Entreprise
publique
Entreprise
privée
Sous-traitants
En cas de non
respect, les
sanctions
peuvent aller
jusqu’à 4% du CA
mondial.
19. II – Les droits renforcés des personnes
avril 2018 19
21. Droit des personnes
avril 2018 21
DROIT A L’INFORMATION
Droit d’accès et de rectification Droit d’opposition
Droit à l’effacement
Droit à la limitation du traitement
Portabilité des données
Droit au retrait du
consentement
Droit d’opposition au profilage Renforcement de la protection des
mineurs
AjoutsduGDPRActuellement
+
22. L’identité du responsable du traitement
Les finalités du traitement
Les destinataires des données
Le droit à l’information
avril 2018 22
Accès / Rectification / Suppression des données concernant la personne
Avec le GDPR
Actuellement
La base juridique du traitement
Le droit de la personne concernée de retirer à tout moment son
consentement
La durée de conservation des données ou les critères utilisés pour déterminer
cette durée
Les coordonnées du DPO…
Transfert des données Hors UE: garantie prises, moyens d’y accéder
Droit à la portabilité
Droit d’introduire une réclamation auprès d’une autorité
Avant même le
début du
traitement, les
informations
doivent être
fournies sous
une forme
claire et
compréhensive.
23. Quels sont les
droits ou
obligations
ajoutés par le
RGPD?
avril 2018 23
L’obligation pour les entreprises de
rendre accessibles à leurs clients, les
coordonnées du DPO (Data
Protection Officer)
Le droit à la portabilité pour les
consommateurs
Le droit pour le client de retirer à tout
moment son consentement
L’obligation pour les entreprises de
rendre disponible la durée de
conservation des données le
concernant
Le droit d’accès pour le client aux
données le concernant.
24. Quels sont les
droits ou
obligations
ajoutés par le
RGPD?
avril 2018 24
■ L’obligation pour les entreprises de rendre
accessibles à leurs clients, les coordonnées du
DPO (Data Protection Officer)
Oui : cela fait partie des nouvelles obligations
■ Le droit à la portabilité pour les
consommateurs
Oui : cela fait partie des nouvelles obligations
■ Le droit pour le client de retirer à tout
moment son consentement
Oui : cela fait partie des nouvelles obligations
■ L’obligation pour les entreprises de rendre
disponible la durée de conservation des
données le concernant
Oui : cela fait partie des nouvelles obligations
Le droit d’accès pour le client aux données
le concernant.
Non : ce droit existait auparavant.
25. Droit d’accès et de rectification
avril 2018 25
Le DROIT D’ACCES permet à la personne qui le souhaite :
- d’avoir confirmation que des données personnelles la
concernant sont traitées ou non,
- D’obtenir copie de ces données
- D’obtenir les information concernant ses droits
Le DROIT DE RECTIFICATION permet à la personne qui le
souhaite :
- De faire rectifier ses données personnelles lorsque ces
dernières sont inexactes.
26. Quelles sont
les
affirmations
justes?
avril 2018 26
Un mari peut obtenir la
rectification des données
personnelles de son épouse, s’il en
fait la demande.
L’exercice du droit d’accès entraîne
obligatoirement des frais pour
celui qui en fait la demande.
Le client, qui découvre, après
accès à ses données personnelles,
qu’une erreur dans sa date de
naissance existe, peut demander
sa rectification.
27. Quelles sont
les
affirmations
justes?
avril 2018 27
Un mari peut obtenir la rectification
des données personnelles de son
épouse, s’il en fait la demande.
Non, les données de son épouse ne lui sont
pas accessibles.
L’exercice du droit d’accès entraîne
obligatoirement des frais pour celui
qui en fait la demande.
Non, cela peut être gratuit ou légèrement
payant (montant raisonnable).
Le client, qui découvre, après accès à
ses données personnelles, qu’une
erreur dans sa date de naissance
existe, peut demander sa
rectification.
Oui, cela fait partie du droit de rectification.
28. Droit à l’effacement
avril 2018 28
Les données ne sont plus nécessaires au
regard des finalités pour lesquelles elles
ont été collectées
Le consentement a été retiré
La personne s’est opposée au traitement
Les données ont fait l’objet d’un
traitement illicite
En vertu d’une obligation légale
Quand les données ont été collectées
lorsque la personne était mineure.
MOTIFS DE DROIT A L’EFFACEMENT
LES EXCEPTIONS A CE DROIT
La liberté d’expression et
d’information
Une obligation légale
L’intérêt public
L’archivage dans l’intérêt public, la
recherche scientifique ou
historique, …
La constatation, l’exercice et la
défense des droits en justice
29. Droit à la portabilité des données
avril 2018 29
Le DROIT A LA PORTABILITE DES DONNEES offre aux personnes la
possibilité de récupérer les données qu’elles-mêmes ont fournies à l’entreprise (pour
changer d’opérateur télécom par exemple).
La demande est valable lorsque le traitement est
fondé :
Sur le recueil du consentement de la personne
concernée
Sur l’exécution du contrat entre la personne
concernée et le Responsable de Traitement
Sur un traitement informatique ( car la portabilité
ne joue que sur les données ayant fait l’objet d’un
traitement informatisé)
Technique
Lorsque c’est techniquement
possible, la portabilité doit pouvoir
se faire d’un Responsable de
traitement à un autre
La portabilité doit se faire dans un
format : Structuré, Couramment
utilisé , Lisible par une machine
Validité
30. Droit d’opposition
avril 2018 30
Le DROIT D’OPPOSITION permet à la personne qui le souhaite :
- De s’opposer à tout moment à un traitement de ses
données personnelles
Le RESPONSABLE DES TRAITEMENTS doit alors cesser le
traitement dans les meilleurs délais.
Quelques exceptions :
- Si le responsable des traitements peut prouver qu’il s’agit
d’un motif impérieux (lutte contre la fraude, les impayés…)
- -dans le cas de la recherche scientifique, d’obligations
légales…
31. Conclusion : les nouveaux droits des
consommateurs
avril 2018 31
32. Conclusion : les nouveaux droits des
consommateurs
avril 2018 32
33. III – Les nouvelles obligations des entreprises
avril 2018 33
34. Les 6 règles d’or
avril 2018 34
• La collecte des informations des clients doit être:
Loyale: ils doivent en être informés
Transparente: elle ne peut être faite à leur insu
Légale: reposer sur un des fondements prévus par le GDPR
• exemple: intérêt légitime, obligation légale, exécution du contrat, consentement…
1 Loyauté, transparence et légalité du traitement.
35. Les 6 règles d’or
avril 2018 35
• « Vous êtes le DRH d’une entreprise, répondez à cette affirmation: »
• « Vous avez le droit de communiquer le fichier de paie du personnel à des marketeurs
pour utilisation à des fins de prospection directe » (OUI/NON)
• Non,
• car cela est contraire au principe du GDPR:
•
• Limitation des finalités du traitement.
• C’est-à-dire qu’il est interdit de détourner l’objectif initial du traitement:
dans ce cas, un fichier de paie ne doit servir qu’à la paie du personnel
2
2
36. Les 6 règles d’or
avril 2018 36
• « Vous êtes le Responsable Commande/Livraison d’un concessionnaire
automobile, répondez à cette affirmation: »
• « Vous avez le droit de collecter la date de naissance de votre client »
(OUI/NON)
• Non,
• car cela est contraire au principe du GDPR:
•
• C’est-à-dire qu’il est interdit de collecter des données qui ne sont
pas nécessaires au regard des objectifs du traitement
3
3
Minimisation des données
37. Les 6 règles d’or
avril 2018 37
• « Vous êtes le responsable facturation d’une PME.
• Votre n’avez pas actualisé votre base de données des débiteurs depuis un
mois, bien que certains clients aient réglé leurs factures entretemps.
• Etes-vous en règle ? » (OUI/NON)
• Non,
• car cela est contraire au principe du GDPR, vous n’êtes pas en
règle:
• C’est-à-dire qu’il est obligatoire que les données traitées
soient exactes et tenues à jour.
4
4
Principe d’exactitude
38. Les 6 règles d’or
avril 2018 38
• « Vous travaillez au backoffice d’un opérateur téléphonique.
• Vous pouvez conserver les factures détaillées de vos clients
indéfiniment (OUI/NON)
• Non,
• car cela est contraire au principe du GDPR:
•
Dans notre exemple, cette limitation légale est de 1 an (pour
répondre à une éventuelle contestation du client)
Dans les autres cas, la durée peut être différente, mais en aucun
vous ne pouvez les conserver de manière illimitée
5
5
Principe de limitation de la conservation des données
39. Les 6 règles d’or
avril 2018 39
• « Vous êtes responsable du SI. Vous avez autorisé des mots de passe de 3
chiffres pour l’accès à la base de données clients de vos vendeurs.
• Cette mesure de sécurité est-elle suffisante ? » (OUI/NON)
• Non,
• car cela est contraire au principe du GDPR:
• Les entreprises doivent tout en mettre en œuvre pour garantir un
niveau de sécurité approprié et adapté au risque .
6 Principe d’intégrité et de confidentialité des données
6
42. Les 6 règles d’or
avril 2018 42
• Loyauté, transparence et légalité du traitement.
• Limitation des finalités du traitement
• Minimisation des données
• Principe d’exactitude
• Principe de limitation de la conservation des données
• Principe d’intégrité et de confidentialité des données
1
2
3
4
5
6
43. IV – Comment se mettre en conformité?
avril 2018 43
45. Le consentement est renforcé par le RGPD.
Il doit être :
avril 2018 45
Libre
Eclairé
Spécifique
La personne concernée doit être en mesure d’accepter ou de
refuser de donner son consentement
Toutes les informations relatives au traitement et aux droits de la
personne concernée doivent lui être communiquées directement
et pas noyées dans les CGU par exemple
La personne concernée doit connaître l’étendue et les
conséquences du traitement dont ses données feront l’objet
Doit découler d’une déclaration ou d’un acte positif et clair de la
personne concernée (case à cocher, etc..).
Et non d’un acte passif ( case pré-cochée, CGU…)
Sans
ambiguité
46. Dans le cadre
d’une application
mobile, j’ai besoin
de traiter les
données
personnelles des
utilisateurs pour
les géolocaliser
avril 2018 46
Je peux considérer que l’acceptation
des CGU de mes applications par les
utilisateurs vaut consentement à
traiter leurs données personnelles?
(oui/non)
Lorsque j’ai obtenu le consentement
de mes utilisateurs pour traiter leurs
données de géolocalisation, je peux
ultérieurement à d’autres éditeurs
d’applications? (oui/non)
Je peux garder dans mon système
d’information une trace du
consentement des utilisateurs?
(oui/non)
47. Dans le cadre
d’une application
mobile, j’ai besoin
de traiter les
données
personnelles des
utilisateurs pour
les géolocaliser
avril 2018 47
Je peux considérer que l’acceptation des CGU de mes
applications par les utilisateurs vaut consentement à
traiter leurs données personnelles? (oui/non)
NON: Le consentement doit être éclairé : informations apportées
directement à la personne et accord de celle-ci, se manifestant par
une déclaration ou un acte positif et clair de la personne concernée
(tel qu’une case à cocher).
Lorsque j’ai obtenu le consentement de mes utilisateurs
pour traiter leurs données de géolocalisation, je peux
ultérieurement à d’autres éditeurs d’applications?
(oui/non)
NON: : Le responsable du traitement n’a pas le droit
d’utiliser les données ultérieurement, à des fins
incompatibles avec celle pour laquelle le consentement des
utilisateurs a été obtenu préalablement. Dans le cas
présent, j’ai demandé le consentement des utilisateurs
pour traiter leurs données de géolocalisation et non pour
les revendre à d’autres éditeurs.
Je peux garder dans mon système d’information une
trace du consentement des utilisateurs? (oui/non)
OUI: Le GDPR en fait même une obligation. Je dois pouvoir
démontrer à tout moment que j’ai obtenu le consentement
des utilisateurs afin de traiter leurs données personnelles.
Pour ce faire, j’ai besoin de garder des traces d’obtention de
ce consentement.
49. Le Responsable de traitement et son sous-
traitantavril 2018 49
Le Responsable de
Traitement
Est défini par le
GDPR comme celui
qui détermine les
moyens et les
finalités du
traitement.
Par exemple, IBM est
responsable du traitement
des données de sa propre
clientèle
Le Sous-traitant
Est défini comme la
personne qui traite
des données à
caractère personnel
pour le compte d’un
responsable de
traitement.
Par exemple, IBM est sous-
traitant quand il héberge des
données de santé pour le
compte d’un hôpital
51. Le Responsable de traitement et son sous-
traitantavril 2018 51
Le RGPD oblige le Responsable des traitements à effectuer une
analyse d’impact sur la vie privée.
Cette analyse d’impact sur la vie privée est
OBLIGATOIRE
Lorsqu’un traitement est susceptible d’engendrer un RISQUE
ELEVE POUR LES DROITS ET LES LIBERTES des
personnes.
Par exemple, le traitement à grande échelle de
données qualifiées de sensibles par le GDPR.
52. Analyse
d’impact?
avril 2018 52
• Un établissement bancaire désire
mettre en place un traitement
fondé sur le profilage automatique
de ses clients en vue de leur
délivrer des crédits. Doit-il faire au
préalable une analyse d’impact sur
la vie privée ? (OUI/NON)
53. Analyse
d’impact?
avril 2018 53
• Un établissement bancaire désire
mettre en place un traitement
fondé sur le profilage automatique
de ses clients en vue de leur
délivrer des crédits. Doit-il faire au
préalable une analyse d’impact sur
la vie privée ? (OUI/NON)
OUI: Car ce traitement présente un risque
élevé . En effet il est fondé sur le profilage
automatique produisant des effets juridiques
(obtention ou refus du crédit)
54. Le Responsable de traitement et son sous-
traitantavril 2018 54
Le RGPD oblige
le Responsable
des traitements
à une protection
des données
dès la
conception
(PRIVACY BY
DESIGN) ainsi
qu’une protection
des données par
défaut (PRIVACY
BY DEFAULT).
Cette OBLIGATION doit être respectée dès la
conception du traitement.
Les mesures mise en œuvre doivent garantir que, par défaut,
seules les DONNEES NECESSAIRES à chaque finalité spécifique
du traitement sont traitées.
« Mesure qui consiste à prévoir la protection
des données dès la conception d’un
traitement ».
Prévoir dès la conception une purge des
données régulièrement
Privacy by Design Privacy by Default
« Mesure qui permet de garantir que par
défaut seules les données nécessaires sont
traitées »
Une application nécessitant la géolocalisation
ne doit pas rendre active celle-ci tant que
l’utilisateur n’a pas donné son consentement.
55. Privacy by
design –
Privacy by
default
avril 2018 55
Une entreprise souhaite procéder
au traitement des données de ses
clients. Doit-elle prévoir la purge
de ces données dès la conception
du traitement, préalablement à sa
mise en œuvre? (oui/non)
56. Privacy by
design –
Privacy by
default
avril 2018 56
Une entreprise souhaite procéder
au traitement des données de ses
clients. Doit-elle prévoir la purge
de ces données dès la conception
du traitement, préalablement à sa
mise en œuvre? (oui/non)
OUI: cette fonctionnalité doit être prévue
préalablement car la conservation des
données doit être limitée dans le temps.
C’est une mesure de Privacy by Design.
57. notifier
Défaut de sécurité et de confidentialité
avril 2018 57
Le GDPR rend OBLIGATOIRE la notification de toute
VIOLATION DE DONNEES PERSONNELLES quelques
soient le secteur d’activité.
Obligations du
Responsable de Traitement
Obligations du
Sous-traitant
notifier
A l’autorité de protection des données (CNIL) dans les
meilleurs délais et si possible dans les 72 H sauf si la violation
n’est pas susceptible d’engendrer un risque.
A chaque personne concernée dans les meilleurs délais en cas
de risque élevé sauf en cas de mesures de protection comme le
chiffrement des données.
Toute violation au Responsable de Traitement dans les
meilleurs délais.
59. Défaut de
sécurité ou de
confidentialité
avril 2018 59
Une société de vente par internet
découvre qu’une partie de ses
données clients a été dérobée. Ces
données concernent les numéros
de carte bancaire de ses clients,
leurs noms, leur adresses. Bien
que les données ne soient pas
chiffrées, cette société peut
attendre 1 mois avant de prévenir
la CNIL (VRAI/FAUX)
60. Défaut de
sécurité ou de
confidentialité
avril 2018 60
Une société de vente par internet
découvre qu’une partie de ses
données clients a été dérobée. Ces
données concernent les numéros de
carte bancaire de ses clients, leurs
noms, leur adresses. Bien que les
données ne soient pas chiffrées, cette
société peut attendre 1 mois avant de
prévenir la CNIL (VRAI/FAUX)
• FAUX: Cette violation de données est
susceptible d’entraîner un risque pour ses
clients. Le responsable de traitement de
la société doit en informer la CNIL dans
les meilleurs délais et si possible dans les
72H. Elle doit en informer également les
clients concernés dans les meilleurs
délais car il s’agit d’un risque élevé pour
ces derniers.
62. Registre interne des activités de traitement
avril 2018 62
Cette OBLIGATION s’applique aux
Responsables de Traitements et à
leurs sous-traitants.
Le GDPR impose un
certains nombre
d’informations à
mentionner dans ces
registres.
Par exemple: type de données
traitées, destinataires de ces
données, mesures de sécurité
prises, les transferts de données, les
finalités du traitement
63. Registre des
traitements
avril 2018 63
AMAZON fournit des services
d’hébergement de données clients
à des entreprises partenaires.
N’étant que le sous-traitant des
entreprises dont elle héberge les
données clients sans être en
relation directe avec lesdits
clients, AMAZON n’est pas obligée
de tenir un registre des activités
au titre du GDPR.(vrai/faux)
64. Registre des
traitements
avril 2018 64
Orange fournit des services
d’hébergement de données clients
à des entreprises partenaires.
N’étant que le sous-traitant des
entreprises dont elle héberge les
données clients sans être en
relation directe avec lesdits
clients, Orange n’est pas tenu de
tenir un registre des activités au
titre du GDPR.(vrai/faux)
FAUX: Le GDPR ne dispense pas les sous-
traitants de la tenue du registre des activités
de traitement.
66. La nomination d’un DPO est devenue
obligatoire pour la majorité des entreprisesavril 2018 66
La nomination d’un DPO est OBLIGATOIRE pour les
organisations publiques et dans la plupart des cas pour
les entreprises privées.
Le DPO est le chef
d’orchestre de la
protection des
données personnelles
dans l’entreprise.
Le DPO
veille au respect du
GDPR dans son
entreprise
Il conseille le
Responsable de
Traitement et le
sous-traitant
Le DPO est le
point de
contact avec
l’autorité de
contrôle (CNIL)
67. DPO
avril 2018 67
Un médecin spécialiste gère son
cabinet privé dans une petite
commune. Il a informatisé la
gestion administrative des RDV de
ses patients. Il est impératif que le
médecin désigne un DPO car il
traite des données personnelles.
(oui/non).
68. DPO
avril 2018 68
Un médecin spécialiste gère son
cabinet privé dans une petite
commune. Il a informatisé la gestion
administrative des RDV de ses
patients. Il est impératif que le
médecin désigne un DPO car il traite
des données personnelles. (oui/non).
FAUX: Le GDPR n’oblige à désigner un DPO,
que les responsables de traitement du
secteur privé qui traitent des données
personnelles à grande échelle ou font de la
surveillance régulière et systématique, ce qui
n’est pas le cas de notre médecin pour gérer
ses RDV. Il n’est pas tenu de désigner un
DPO.
69. Les recommandations de la CNIL pour la
mise en place du projetavril 2018 69
Désigner un pilote : le DPO
Cartographier vos traitements de données personnelles
Prioriser les actions à mener : en fonction des risques
Gérer les risques : faire une première analyse d’impact sur la protection des données
Organiser les processus internes en prenant en compte l’ensemble des événements
qui peuvent survenir au cours de la vie d’un traitement
Documenter la conformité et actualiser la documentation
71. L’indispensable « politique de
confidentialité »avril 2018 71
Il faudra
nécessairement
créer une Charte
de confidentialité.
Soit une pour
chaque
campagne
marketing, soit
une globale
reprenant tous
les traitements
et opérations
mis en œuvre.
Cette charte doit
être clairement
visible au
moment du
recueil des
données.
Politique de confidentialité
Charte de confidentialité
Charte de vie privée…
Autant de noms possibles pour un document
OBLIGATOIRE
Cette charte devra indiquer clairement :
l’identité du Responsable de Traitement,
les coordonnées du Délégué à la Protection des
données,
la finalité des traitements,
les personnes pouvant y accéder,
le type de données collectées,
leur durée de conservation,
l’existence du droit de demander l’accès aux données à
caractère personnel, la rectification ou l’effacement de
celles-ci,
la procédure pour exercer son droit d’accès, de
rectification et d’effacement.
72. La récolte des consentements durant une
campagneavril 2018 72
Le consentement
des individus
concernant leurs
données doit
être positif, clair
et explicite.
Le procédé de collecte doit faire l’objet d’une expression
séparée des autres conditions de participation à la
campagne ou au concours.
Un silence, une case pré-cochée ou l’inactivité de
l’individu ne valent pas consentement!
Le formulaire de collecte de la campagne comprendra :
- Une mention d’information claire
- Plusieurs cases à valider obligatoirement :
- Le consentement à la collecte et à l’utilisation
des données (autant de cases à cocher que de
finalités : e-mailing, newsletters, sms, offres
commerciales…)
- L’acceptation du règlement du jeu ou de
l’opération
- L’acceptation de la Politique de confidentialité
74. Conserver la preuve du consentement
avril 2018 74
L’entreprise doit être capable d’apporter la preuve du
consentement.
75. Le RGPD, une opportunité pour les
entreprises?avril 2018 75
L’un des objectifs du GDPR est de rétablir un cadre de confiance entre les entreprises et leurs clients.
Cette confiance permettra aux entreprises qui sont conformes d’exploiter plus facilement les données
de leurs clients sans crainte de se voir sanctionner.
De plus, les clients seront plus enclins à solliciter les entreprises qui ont une réputation respectueuse
des données personnelles
De son entreprise en les allouant aux bons endroits et au juste niveau. Par exemple, introduire la
privacy by design permet de ne pas se rendre compte trop tard que le traitement pour lequel on a
investi n’est pas conforme et que les ressources utilisées ne pourront pas être rentabilisées.
Par exemple : Etant donné que les responsables de traitement auront avec le GDPR l’obligation de ne
choisir qu’un sous-traitant présentant des garanties suffisantes de conformité au GDPR, les marchés
seront plus ouverts aux fournisseurs conformes qu’à ceux qui ne le sont pas.
ACCROITRE LA
CONFIANCE
OPTIMISER LES
RESSOURCES
AVANTAGE
CONCURRENTIEL
79. Pour aller plus loin…
avril 2018 79
Et pour devenir un expert du RGPD, n’hésitez pas à consulter:
Le site de la CNIL
Les nombreux livres blancs, articles ou infographies que vous
retrouverez en ligne
Ou encore les tutoriels vidéos, là encore, très nombreux!
Et si le RGPD n’est pas votre tasse de thé, faites-vous accompagnés
pour être en conformité. Là encore, de nombreux professionnels
vous proposeront leurs prestations. C’est un vrai Business!