Lorsque vous demandez à vos clients leurs coordonnées, adresses mails, téléphone, profession… vous collectez des données personnelles. Jusqu’à présent, cette pratique était encadrée par la loi informatique et libertés du 6 janvier 1978. Elle est remplacée par le Règlement (européen) Général de Protection des Données entré en vigueur fin mai.
Le « RGPD » impose pour tous les organismes, sans critère de taille, de chiffre d’affaires ou de secteur d’activité, la mise en place de mesures de sécurisation des données pendant leur collecte, leur traitement et leur stockage. Les établissements équestres sont concernés pour les données collectées numériquement ou sous format papier. Le non-respect de ces obligations peut entrainer une sanction financière pouvant aller jusqu’à 4% du chiffre d’affaires.
Ces obligations se déclinent en 8 points :
1) Nommer un délégué pour la protection des données
Son rôle sera de conseiller et d’informer en interne sur les procédures à respecter, de gérer les fichiers de données en assurant protection et confidentialité. Il sera l’interlocuteur de la CNIL en cas de contrôle.
2) Créer un registre des données personnelles utilisées par l’entreprise
Manuscrit ou tenu informatiquement, il va permettre de visualiser l’ensemble des données personnelles collectées et conservées par l’entreprise. La CNIL propose un modèle disponible sur son site.
3) Analyser les données présentes dans le registre
Il faut ainsi pouvoir visualiser les circonstances de la collecte : obligation légale et/ou règlementaire, nécessité pour l’entreprise d’établir un contrat…
Si les informations recueillies ne sont pas nécessaires, il faudra pouvoir prouver que la personne concernée a bien donné son consentement à la collecte de ces informations.
Il faut également que chacun sache à quelles fins sont collectées les données le concernant.
4) Sensibiliser les salariés de l’entreprise à la sécurisation des données et mettre des procédures en place pour cette sécurisation
Le RGPD supprime les formalités préalables à effectuer auprès de la CNIL. Ce sera au dirigeant de prendre des mesures adaptées pour sécuriser la collecte (fichier sécurisé, accès restreint au fichier).
Le personnel doit être informé des procédures et des comportements à avoir pour le traitement de ces données et leur utilisation. L’établissement doit laisser la possibilité aux clients de faire valoir leurs droits de modification ou de suppression des informations les concernant.
5) Informer et permettre l’exercice du droit à la portabilité
La portabilité est la possibilité pour les personnes de récupérer une partie des données dans un format lisible et de pouvoir les réutiliser. Il est nécessaire d’informer les personnes de ce droit à la portabilité, en le différenciant du droit d’accès aux données.
6) Mener une analyse d’impact relative à la protection de certaines données
L’analyse d’impact est obligatoire pour les organismes qui traitent des données à grande échelle ou des données sensibles en faisant ressortir le risque pour les droits et libertés des personnes que crée cette collecte de données. Les centres équestres ne sont en principe pas concernés par cette étude.
7) Anticiper et prévoir la suppression des données
Les données personnelles doivent impérativement être supprimées lorsqu’elles ne sont plus nécessaires. La CNIL recommande de conserver les données clients uniquement pendant le temps de la relation client.
8) Détenir des procédures à adopter en cas de mise en danger ou d’atteinte aux données personnelles
La CNIL doit être informée en cas de violation ou de fuite de données personnelles.
02 54 83 02 02
infos@ghn.com.fr