Seul le numéro de sécurité sociale (NIR) est considéré ici comme un donnée « sensible ». Les autres types de données sensibles sont celles relatives aux opinions politiques religieuses, philosophiques ou syndicales et tout ce qui touche à la santé ou à l’identité sexuelle et intime de la personne. Les autres sont des donées personnelles même si elles sont hautement personnelles. L’utilisation du NIR  nécessite des garanties supplémentaires et il ne peut pas être traité ou collecté arbitrairement. Ainsi, le simple envoi par mail d’un bulletin de paye PDF en pièce jointe n’est pas suffisament sécurisé et ne correspond pas à une mesure adéquate de protection au sens du RGPD.

Le RGPD ne fait pas de différence entre les données à caractère personnel d’une personne contenues sur le papier, celles enregistrées dans un fichier informatique ou encore dans une base de données logicielle ou web. On pense souvent que le RGPD ne concerne que les fichiers dits informatiques ou bureautiques. En réalité une facture, un devis ou un formulaire papier sont concernés par la mise en oeuvre de la protection des données personnelles. Il en va de même pour une prise de note structurée dans un cahier par un praticien médical ou un compte rendu d’entretien papier avec votre manager.

D’où la nécessité de bien gérer aussi ses documents et archives papier pour retrouver les informations que l’on détient sur une personne.

Le RGPD est entré en vigueur le 25 mai 2018. S'agissant d'un règlement européen et non pas d'une directive, le texte est entré en application simultanément dans tous les Etats membres de l'Union européenne, sans transposition dans les droits nationaux. Autrement dit, le parlement français n'a pas eu besoin de voter la transposition du texte en France. Depuis le 25 mai 2018, tout traitement en infraction avec le RGPD peut donc déboucher sur des sanctions. La loi n° 2018-493 du 20 juin 2018 est venue modifier la loi Informatique et Libertés afin de mettre en conformité le droit français avec le cadre juridique européen.

Cependant la Loi informatique et libertés reprenant en grande partie le RGPD vient aussi traiter des dispositions relatives aux « marges de manœuvre nationales » autorisées par le RGPD afin de préciser certaines adaptations (majorité numérique par exemple), de législations sectorielles ou encore du fonctionnement de la CNIL, ainsi que des mesures de transposition en droit français de la directive « police-justice ».

Lorsque j’organise des événements, je peux en faire la publicité par la diffusion de ma newsletter, en appelant mon fichier clients-prospects, en organisant un jeu concours sur FB, en proposant aux personnes de s’inscrire et de payer en ligne ou encore en leur adressant un carton d’invitation par la poste. Toute cette organisation, sans parler de la logistique qui va autour, engendre bien un traitement de données personnelles. Organiser des évènements entre donc dans le périmètre d’application du RGPD.

Les éditeurs de logiciels ont généralement effectué une "mise en conformité RGPD logicielle" pour intégrer les exigences de traitement du RGPD dans leurs outils applicatifs (principes de minimisation, anonymisation, suppression, maj, Etc.). Cependant l'Editeur n'est que sous-traitant, le responsable de traitement reste bien l'entreprise utilisatrice qui collecte au départ les données des salariés, clients ou prospects pour les enregistrer, les analyser, les transférer, les stocker ou les partager. Si vous lisez bien vos CGU contractuelles, cela est généralement bien expliqué. Avoir des logiciels conformes au RGPD ne dispense donc pas de cartographier ses activités, d'auditer ses traitements et d'initier sa propre démarche de mise en conformité au RGPD.

Les données de vos prospects inactifs depuis plus de 3 ans depuis le dernier contact connu doivent être effacées de vos bases de données et fichiers. il faut que votre logiciel de contact ou CRM vous permette d’effacer les données de ces derniers. Conserver des données au delà de la période de conservation constitue une non-conformité au sens du RGPD,  passible de sanction.  Il faut donc organiser votre prospection et vos actions en intégrant ces paramètres.

Selon le mode de prospection utilisé (email, téléphone ou sms), les personnes sollicitées doivent au préalable avoir donné leur accord (la notion de consentement) pour recevoir vos messages (opt-in) ou ne pas avoir exprimé leur refus (opt-out).

Dans le cadre d’une prospection en « B2C », c’est l’Opt-in qui prévaut, c’est donc d’obtenir l’accord préalable du destinataire de la publicité dont la position sera :

« SI JE N’AI PAS DIT OUI, C’EST NON ».

S’il n’a pas dit « oui », c’est « non ». Cette règle vaut pour tous les type de prospection par email, SMS, MMS, automate d’appels ou fax, dès lors qu’ils concernent un particulier.

L’opt-out, c’est le contraire, lorsque le destinataire de la publicité ne s’est pas opposé : s’il n’a pas dit « non », c’est « oui ». C’est le cas pour la publicité « B2B » (de professionnel à professionnel) adressée par email et « B2C » adressée par voie postale ou par téléphone. La position du prospect est alors de dire « SI JE N’AI PAS DIS NON C’EST OUI ».

Idéalement, vous devez au préalable, lors de votre premier contact B2B, présenter votre activité, la source du contact et évoquer la possibilité qu’à l’avenir vous adressiez des offres à ce prospect B2B s’il n’y voit pas d’inconvénient, sauf à s’y opposer en cliquant sur le lien de désinscription présent sur votre communication.

PS : Il existe pour la prospection téléphonique des règles particulières. Renseignez vous sur le site internet de « Bloctel », organisme chargé de gérer la liste nationale d’opposition au démarchage téléphonique.

Le consentement n'est pas toujours obligatoire. Il est des cas où le traitement des données d'une personne est basé sur l’exécution d’un contrat (auquel la personne est partie), au respect d’une obligation légale, à la sauvegarde des intérêts vitaux d’une personne (urgences, pompiers, Etc.), à l’exécution d’une mission d’intérêt public ou encore du fait de la poursuite de l'intérêt légitime pour mon organisation.

Il est très important de définir sur quelle "base légale" se fonde la possibilité de traiter les données d'une personne, il en va du caractère licite de votre opération. C'est un exercice pas toujours simple. Il dépend aussi de la nature de vos publics (BtoB ou BtoC) et des formats de communication ou de prospection utilisés (mail, téléphone, courrier postal, Etc.) en lien avec d'autres réglementations.

L'adresse personnelle comme l'adresse professionnelle sont considérées comme des données personnelles mais une adresse contact générique de type contact@société.fr n'entrera pas dans le champ du RGPD.

Les données papier comme les données numériques sont concernées par le champ d’application du RGPD (Devis ou facture client, abonnement, formulaire d’inscription, entretien annuel, bulletin de salaire, feuille de congés, Etc.)