Les données papier comme les données numériques sont concernées par le champ d’application du RGPD (Devis ou facture client, abonnement, formulaire d’inscription, entretien annuel, bulletin de salaire, feuille de congés, Etc.)

Le RGPD ne fait pas de différence entre les données à caractère personnel d’une personne contenues sur le papier, celles enregistrées dans un fichier informatique ou encore dans une base de données logicielle ou web. On pense souvent que le RGPD ne concerne que les fichiers dits informatiques ou bureautiques. En réalité une facture, un devis ou un formulaire papier sont concernés par la mise en oeuvre de la protection des données personnelles. Il en va de même pour une prise de note structurée dans un cahier par un praticien médical ou un compte rendu d’entretien papier avec votre manager.

D’où la nécessité de bien gérer aussi ses documents et archives papier pour retrouver les informations que l’on détient sur une personne.

Selon le mode de prospection utilisé (email, téléphone ou sms), les personnes sollicitées doivent au préalable avoir donné leur accord (la notion de consentement) pour recevoir vos messages (opt-in) ou ne pas avoir exprimé leur refus (opt-out).

Dans le cadre d’une prospection en « B2C », c’est l’Opt-in qui prévaut, c’est donc d’obtenir l’accord préalable du destinataire de la publicité dont la position sera :

« SI JE N’AI PAS DIT OUI, C’EST NON ».

S’il n’a pas dit « oui », c’est « non ». Cette règle vaut pour tous les type de prospection par email, SMS, MMS, automate d’appels ou fax, dès lors qu’ils concernent un particulier.

L’opt-out, c’est le contraire, lorsque le destinataire de la publicité ne s’est pas opposé : s’il n’a pas dit « non », c’est « oui ». C’est le cas pour la publicité « B2B » (de professionnel à professionnel) adressée par email et « B2C » adressée par voie postale ou par téléphone. La position du prospect est alors de dire « SI JE N’AI PAS DIS NON C’EST OUI ».

Idéalement, vous devez au préalable, lors de votre premier contact B2B, présenter votre activité, la source du contact et évoquer la possibilité qu’à l’avenir vous adressiez des offres à ce prospect B2B s’il n’y voit pas d’inconvénient, sauf à s’y opposer en cliquant sur le lien de désinscription présent sur votre communication.

PS : Il existe pour la prospection téléphonique des règles particulières. Renseignez vous sur le site internet de « Bloctel », organisme chargé de gérer la liste nationale d’opposition au démarchage téléphonique.

Seul le numéro de sécurité sociale (NIR) est considéré ici comme un donnée « sensible ». Les autres types de données sensibles sont celles relatives aux opinions politiques religieuses, philosophiques ou syndicales et tout ce qui touche à la santé ou à l’identité sexuelle et intime de la personne. Les autres sont des donées personnelles même si elles sont hautement personnelles. L’utilisation du NIR  nécessite des garanties supplémentaires et il ne peut pas être traité ou collecté arbitrairement. Ainsi, le simple envoi par mail d’un bulletin de paye PDF en pièce jointe n’est pas suffisament sécurisé et ne correspond pas à une mesure adéquate de protection au sens du RGPD.

Le consentement n'est pas toujours obligatoire. Il est des cas où le traitement des données d'une personne est basé sur l’exécution d’un contrat (auquel la personne est partie), au respect d’une obligation légale, à la sauvegarde des intérêts vitaux d’une personne (urgences, pompiers, Etc.), à l’exécution d’une mission d’intérêt public ou encore du fait de la poursuite de l'intérêt légitime pour mon organisation.

Il est très important de définir sur quelle "base légale" se fonde la possibilité de traiter les données d'une personne, il en va du caractère licite de votre opération. C'est un exercice pas toujours simple. Il dépend aussi de la nature de vos publics (BtoB ou BtoC) et des formats de communication ou de prospection utilisés (mail, téléphone, courrier postal, Etc.) en lien avec d'autres réglementations.

Les données de vos prospects inactifs depuis plus de 3 ans depuis le dernier contact connu doivent être effacées de vos bases de données et fichiers. il faut que votre logiciel de contact ou CRM vous permette d’effacer les données de ces derniers. Conserver des données au delà de la période de conservation constitue une non-conformité au sens du RGPD,  passible de sanction.  Il faut donc organiser votre prospection et vos actions en intégrant ces paramètres.

Une donnée à caractère personnel est toute information qui permet d'identifier directement ou indirectement une personne. Ainsi un pseudo ou un numéro de compte permettent d'identifier une personne par "association" avec une table de correspondance client ou membre. Ce sont donc des données personnelles et la façon dont l'organisation les collecte, les utilise et les partage constitue un traitement de données personnelles soumis aux exigences du RGPD.

Le seul moment où le RGPD ne s’applique pas à des données personnelles c'est lorsque celles-ci sont "anonymisées". Le RGPD s’applique donc aux données « pseudonymisées » dès lors que par un ensemble de recoupements elles peuvent permettre d’identifier une personne. On considère que des données sont anonymisées lorsque la réidentification de la personne devient impossible ou trop difficile à mettre en oeuvre compte tenu des coûts et du temps nécessaire qu'il faudrait y consacrer en l'état des technologies actuelles.

Le Règlement Général Sur la Protection des Données (RGPD) est un règlement européen voté le 16 avril 2016 (règlement n°2016/679 ) et applicable depuis le 25 Mai 2018.

Les contrats conclus par voie électronique avec un consommateur (à partir de 120 €) doivent être conservés 10 ans à partir de la livraison ou de la prestation.

(Ces règles pouvant évoluer au fil des années, il est toujours utile de vérifier la proposition).

Lorsque je confie la gestion de la paye à un prestataire externalisé, mon entreprise reste le donneur d'ordre (responsable du traitement) et doit donc s'assurer que son sous-traitant lui-même met tout en oeuvre pour respecter le RGPD dans sa propre société. Comme le dit la CNIL, il faut "bien choisir ses sous-traitants" et vérifier qu'ils prennent des mesures adéquates pour assurer la protection des données personnelles qui leur sont confiées. Chaque prestataire traitant de données personnelles est donc soumis au RGPD, d'où l'importance des contrats sous-traitants, qui doivent contenir des engagements sur le RGPD  vis à vis de leurs clients. Il en va de même par exemple pour le prestaire en ligne qui assure le stockage des bulletin de paie de mes salariés.

Lorsque j’organise des événements, je peux en faire la publicité par la diffusion de ma newsletter, en appelant mon fichier clients-prospects, en organisant un jeu concours sur FB, en proposant aux personnes de s’inscrire et de payer en ligne ou encore en leur adressant un carton d’invitation par la poste. Toute cette organisation, sans parler de la logistique qui va autour, engendre bien un traitement de données personnelles. Organiser des évènements entre donc dans le périmètre d’application du RGPD.

Les éditeurs de logiciels ont généralement effectué une "mise en conformité RGPD logicielle" pour intégrer les exigences de traitement du RGPD dans leurs outils applicatifs (principes de minimisation, anonymisation, suppression, maj, Etc.). Cependant l'Editeur n'est que sous-traitant, le responsable de traitement reste bien l'entreprise utilisatrice qui collecte au départ les données des salariés, clients ou prospects pour les enregistrer, les analyser, les transférer, les stocker ou les partager. Si vous lisez bien vos CGU contractuelles, cela est généralement bien expliqué. Avoir des logiciels conformes au RGPD ne dispense donc pas de cartographier ses activités, d'auditer ses traitements et d'initier sa propre démarche de mise en conformité au RGPD.