L’essentiel sur le RGPD, qu’est-ce que c’est ? Qui est concerné ?
RGPD signifie Règlement Général sur la Protection des Données. C’est un texte européen qui encadre le traitement des données personnelles des individus sur le territoire européen. Entré en application en Mai 2018, il s’inscrit dans la continuité de la loi française Informatique et Libertés de 1978.
Selon la CNIL (Commission Nationale de l’Informatique et des Libertés), une donnée personnelle c’est « toute information se rapportant à une personne physique identifiée ou identifiable ». Autrement dit, tout renseignement permettant d’identifier un individu et créant des risques à son encontre. La CNIL a déterminé deux types d’identification :
- L’identification directe, c’est-à-dire par des renseignements tels que le nom, le prénom, …
- L’identification indirecte, via des renseignements plus subjectifs tels qu’un simple identifiant ou un numéro par exemple.
Maintenant que l’on sait de quoi il s’agit, qui est concerné par ce règlement ? Toute structure privée ou publique effectuant de la collecte et / ou du traitement de données. Et cela concerne aussi les sous-traitants qui collectent des données pour le compte d’autres entités.
6 notions clés à garder en tête sur ce RGPD :
Tout d’abord, la pertinence des données, vous ne devez collecter et traiter que les données réellement indispensables à votre objectif.
La transparence, exposer à l’individu à quoi serviront ses données est la base de la confiance qui vous lie à cette personne.
Il faut bien veiller à respecter les droits de ces personnes, les individus doivent pouvoir garder un accès à leurs données, les modifier s’ils le souhaitent ou encore les supprimer. Recueillir et prouver le consentement des individus constitue une étape fondamentale.
Veillez à garder une bonne maîtrise des données, c’est-à-dire que s’il y a un partage de ces données, il doit être encadré.
La gestion des risques sera un élément clé de la protection ainsi que la sécurité. Veillez éventuellement à prendre des mesures spécifiques comme par exemple protéger le réseau informatique interne de votre structure, ou encore sécuriser les serveurs …
N’oubliez pas de prévenir la CNIL en cas de risque réel d’atteinte aux données dans un délai de 72h.
Construire votre RGPD en 5 étapes :
- Établissez un registre de traitement
Commencez par identifier et lister les activités principales de votre entreprise et de quelles données ces activités auront besoin. Cela va vous permettra d’avoir une vision d’ensemble.
Le mieux est ensuite de réaliser un registre précisant la catégorie de données utilisées (nom, prénom, …), ainsi que qui aura accès à ces données. Déterminez aussi une durée de conservation des données et informez-en les individus concernés par la collecte.
- Faites le tri dans les données
Vérifiez que les données que vous traitez ont une nécessité dans l’exercice de votre activité ; que seules les personnes habilitées à les consulter ont accès au fichier ; et que vous ne conservez pas ces données au-delà de la durée que vous vous êtes fixée.
- Assurez-vous de respecter les droits des individus
Cette étape fait référence à la notion de transparence vue plus haut. Veillez à informer les personnes, c’est-à-dire à leur communiquer la finalité de collecte de ces données ; pourquoi êtes-vous autorisé à les collecter ; qui aura accès à ces données ; combien de temps vous les conserverez ; et les conditions selon lesquelles les personnes peuvent exercer leurs droits.
- Consolidez bien la sécurité des données
Garantir la sécurité des données que vous possédez est une obligation légale vous concernant ! Veillez à prendre les mesures nécessaires, qu’elles soient physiques ou informatiques.
- Utilisez un logiciel 100% conforme
En tant qu’agence de voyage, bien gouverner l’information est primordial. Utiliser un logiciel de solution pour agence de voyage 100% conforme sera pour vous un avantage considérable.
Attention aux sanctions !
Si votre gestion des données n’est pas conforme au RGPD, vous encourez des sanctions d’ordre :
- Pénal : 5 ans de prison et 300 000 € d’amende.
En cas d’infractions plus grave, vous encourez des sanctions :
- Financières : 20 millions d’euros ou 4% du chiffre d’affaire annuel.
Vous voilà avec toute les cartes en main afin d’être conforme au RGPD.