Le top 8 des idées reçues sur le RGPD

Découvrez notre premier article invité sur ce blog. Créé par la société Taumus, découvrez un top 8 des idées reçues autour du RGPD.

1 # Je ne suis pas concerné, je ne traite pas de données personnelles.

  • Vrai : une entreprise ne traitant pas de Données à Caractère Personnel (DCP) de citoyens européens n’est pas concernée la RGPD.
  • Faux : Il est peu probable que vous ne traitiez aucune donnée personnelle. Bien souvent, on oublie de considérer les fichiers clients / prospects / fournisseurs comme contenant des DCP. Il est difficile de trouver une entreprise n’en traitant pas : un plombier, un formateur, un artiste… traitent des DCP.

2 # J’ai encore du temps avant qu’on ne s’intéresse à moi !

  • Vrai : Toutes les entreprises ne seront évidement pas contrôlées le 25 mai prochain, date d’entrée ne vigueur du RGPD. De même les contrôles seront priorisés selon différents critères comme la taille, le secteur d’activité, les types de traitements…
  • Faux : En cas de plainte / saisie de la CNIL par un client / fournisseur / concurrent ou un salarié, votre contrôle arrivera bien plus rapidement que prévu ! Ce qui arrive d’ailleurs fréquemment.

3 # J’ai investi dans un super équipement de sécurité (pare-feu / UTM /…) je suis tranquille !

  • Vrai : Le RGPD impose dans son article 32 d’assurer la sécurité et la confidentialité des données. Ce type d’équipement y participe évidemment sous réserve bien sûr que l’équipement soit suivi, ce qui est rarement le cas (suivi des logs / mises à jour / alertes…)
  • Faux : Aussi sécurisées soient vos données, si vous ne respectez pas le droit d’accès ou de rectification d’une personne physique par exemple, vous ne serez pas conforme au RGPD.

Si vous ne savez pas précisément où sont stockées vos données, vous ne serez pas conforme.

Si vos contrats ne contiennent aucune clause relative à la protection des données personnelles, vous ne serez pas conforme.

La problématique n’est donc pas uniquement technique !

4 # J’ai un prestataire informatique, c’est à lui de s’en charger !

  • Vrai : en tant que sous-traitant, il a certaines obligations supplémentaires, pour lui-même, mais aussi envers vous, dont notamment l’obligation de conseil.
  • Faux : Bien qu’il soit tentant de vouloir effectuer un transfert total de responsabilité, ce n’est pas si simple. Le RGPD impose au responsable du traitement de sélectionner ses fournisseurs fonction notamment, des garanties de sécurité présentées. Une tâche difficile à lui déléguer.

Autre nouveauté de la règlementation : le principe de coresponsabilité. En cas de non-conformité, c’est toute la chaine est responsabilisée.

D’ailleurs, si le RGPD impose aux sous-traitants (à ne pas confondre avec un co-traitant) d’aider les responsables de traitement dans leur démarche permanente de mise en conformité, il ne les substitue pas à ces derniers.

Il est évident que si vous utilisez des DCP pour des finalités autres que celles mentionnées au registre des traitements, c’est de votre responsabilité et pas celle de votre sous-traitant, quel qu’il soit.

5 # Avec les RGPD, c’en est fini du webmarketing et notamment de l’e-mailing !

  • Vrai : Si vous n’aviez pas pour habitude de recueillir le consentement ou de permettre aux destinataires de se désabonner, ça risque d’être compliqué pour vous de continuer vos opérations en toute légalité ! De même que si vous ajoutiez à votre newsletter toutes les adresses e-mails récupérées sur divers fichiers sans aucun consentement.
  • Faux : Le RGPD n’interdit rien ! Il impose plus de transparence et surtout de respect des personnes. Ainsi, vous pourrez toujours effectuer vos campagnes d’e-mailing dès lors que vous aurez le consentement de la personne et surtout que vous lui permettrez de revenir sur ce consentement à tout moment.

Et contrairement aux idées reçues, le RGPD facilitera vos campagnes ! Eh oui ! Sachant que leurs données ne seront pas cédées sans leur consentement et qu’ils pourront se désinscrire à tout moment, vos publics s’inscriront plus volontiers à vos newsletters.

En un mot : finies les newsletters auxquelles on ne s’était jamais abonné et pour lesquelles on ne pouvait jamais se désabonner…

6 # L’utilisateur final aura plus de contrôle que moi sur mes propres données !

  • Vrai : Il aura un droit d’accès de rectification, de suppression de ses données. Il aura également le droit à la portabilité de ses données ; donc en fait, plus de droits sur ses données.
  • Faux : Pour faire usage de ce droit, le RGPD prévoit de nombreux garde-fous empêchant les abus. De la même manière, pour les intérêts légitimes, pas besoin de consentement préalable ! C’est l’exemple d’une entreprise qui voudrait effectuer de la corrélation d’évènements afin de garantir la sécurité de son système d’information, elle n’aura évidemment pas à recueillir le consentement de chaque utilisateur.

De même, certaines informations ont une durée de rétention légale, pas de suppression dans ce cas .

7 # En fait, le gros risque pour moi, c’est l’amende !

  • Vrai : 20 millions d’euros, ce n’est pas le montant du prochain tirage de l’euromillion, c’est plutôt le montant des sanctions qui pourront vous être infligées ; ou 4 % de votre chiffre d’affaires mondial si celui-ci est supérieur (soit à partir d’un CA mondial de 5 milliards d’euros).
  • Faux : en cas de violation par exemple, il faudra ajouter le coût de notification aux personnes. Si l’on estime à 20 € par personne les frais de notification globaux, sur une base de 500 clients ou prospects, cela représente tout de même 10 000 €. À cela s’ajouteraient les frais de justice et de réparations si parmi ces 500 clients, certains décidaient de vous poursuivre  en justice! (ce qui est fort probable compte tenu de la judiciarisation de notre société.)

Si l’on ajoute la perte de crédibilité, l’impact sur l’image de votre société, sur sa notoriété, on se rend compte qu’il n’y a pas que l’amende qui est à craindre ! Le tiercé perdant : sanction / notification / réparation. Mieux vaut donc prévenir que guérir.

8 # En tant que sous-traitant, j’ai informé mes clients sur l’entrée en vigueur du RGPD, j’ai fait ma part !

  • Vrai : En tant que sous-traitant, vous avez effectivement un devoir de conseil envers vos clients. Les alerter sur cette règlementation et votre propre conformité est en effet nécessaire.
  • Faux : Nécessaire… Mais pas suffisant . Il ne suffit pas de prévenir vos clients pour vous décharger de toute autre responsabilité.

Vous devez en effet établir avec votre client un contrat ou un autre acte juridique précisant les obligations de chaque partie et reprenant les dispositions de l’article 28 du règlement européen.

Recenser par écrit les instructions de votre client concernant les traitements de ses données. Cela vous permettra de prouver que vous agissez « sur instruction documentée du responsable de traitement ».

Si vous faites vous-même appel à un sous-traitant, vous devez demander l’accord écrit à votre client.

Afin de démontrer le respect de vos obligations, vous devez mettre à la disposition de votre client toutes les informations nécessaires et, également, lui permettre la réalisation d’audits.

Vous avez donc une obligation d’assistance, d’alerte et de conseil, et ce, à tout moment.

Le top 8 des idées reçues sur le RGPD
4.8 (95%) 4 votes

A propos de l'auteur

Fabien Berthoux

Créateur de LEADLIST. Quand je ne m'occupe pas de de créer le contenu du blog, j'aide les entrepreneurs à booster leur business en ligne avec de Coaching SEO.

Laisser un commentaire

Simplifiez la gestion de votre TPE avec LEADLIST

Le RGPD en une infographie

Fermer