La sécurité avant tout
Règlement général sur la protection des données : vos données sont entre de bonnes mains
Le nouveau Règlement général sur la protection des données (RGPD), entré en vigueur le 25 mai 2018, va permettre d’améliorer encore davantage la protection des données personnelles. Chez Sappi, le respect de votre vie privée dans le cadre de la communication numérique a toujours revêtu une priorité absolue, ce avant même l’introduction du nouveau règlement : nous optimisons constamment nos processus de protection des données et vous proposons sur www.sappi.com/privacy-policy un aperçu de la manière dont nous traitons et protégeons vos données. Le nouveau RGPD confirme que nous avons eu raison d’ériger depuis toujours la protection systématique des données en principe directeur de notre politique de coopération avec nos clients. Nous avons résumé pour vous, en votre qualité d’entrepreneur, des informations précieuses concernant le RGPD.
Le RGPD s’applique également aux petites entreprises
Qu’il s’agisse d’une entreprise unipersonnelle, d’un bureau de graphisme ou d’une grande imprimerie : pour vous, en votre qualité d’entrepreneur dans le secteur de l’imprimerie, de l’emballage et de la communication, l’application du RGPD a un caractère obligatoire, et le législateur prévoit des amendes en cas de non-respect de la nouvelle réglementation. Le RGPD s’applique dès lors que vous êtes amené à traiter des données personnelles. Le traitement de telles données relatives aux clients ou aux prospects est généralement interdit – sauf si leur traitement est absolument nécessaire à l’exécution du contrat ou pour servir d’autres intérêts légitimes. Toute autre utilisation des données personnelles (par exemple à des fins de marketing) requiert le consentement de la personne concernée. Par principe, il est fortement recommandé de solliciter et de documenter ce consentement en amont. Les consentements déjà accordés demeurent valables pour autant qu’ils soient conformes au RGPD.
La conformité aux règles ne suffit plus
Le RGPD introduit des obligations supplémentaires que les entreprises sont tenues d’observer de manière proactive. Celles-ci incluent, notamment, l’obligation de tenir un registre des procédures dans lequel doivent être consignées les opérations de traitement des données, la finalité du traitement de ces données ainsi que les délais de suppression. La liste, par exemple sous la forme d’un fichier Excel, doit être soumise aux autorités de surveillance sur simple demande. Les entreprises de moins de 250 employés sont exemptées de l’obligation de tenir à jour un registre des procédures, à la condition expresse que le traitement des données n’ait qu’un caractère occasionnel.
Les demandes d’informations doivent être traitées rapidement
Autre nouveauté : vos clients disposent désormais, par principe, d’un droit d’opposition au traitement de leurs données. Votre entreprise peut continuer à stocker les données nécessaires à l’exécution du contrat. Si, en revanche, les données ne sont utilisées qu’à des fins de marketing, elles doivent être effacées immédiatement sur simple demande. Par ailleurs, les demandes d’information de vos clients concernant les données traitées doivent être satisfaites immédiatement.
Obligation de déclaration de confidentialité, y compris dans le cadre des entretiens de conseil
Si vous administrez un site Internet, vous connaissez d’ores et déjà la déclaration de confidentialité prescrite par la loi. À l’avenir, cette déclaration sera également obligatoire si les données sont collectées hors ligne – par exemple dans le cadre d’un entretien de conseil.
La désignation d’un délégué à la protection des données est souvent obligatoire
Le RGPD exige la désignation d’un délégué à la protection des données lorsque votre entreprise exécute des opérations de traitement de données nécessitant un suivi régulier et systématique des collaborateurs ou concernant des données particulièrement sensibles (par exemple, les données relatives à la santé). Toutefois, le législateur allemand a déjà prévu un délégué à la protection des données lorsque plus de 10 employés de l’entreprise sont impliqués dans le traitement des données à caractère personnel.
Les incidents de données doivent être signalés rapidement
En cas d’atteinte à la protection des données, l’autorité doit en être informée dans les 72 heures. Jusqu’à présent, ces cas n’avaient qu’un caractère exceptionnel. S’il existe un risque élevé de perte de données, les personnes concernées doivent également en être informées. Afin de minimiser le risque d’incident de données, le RGPD prévoit aussi l’obligation de garantir un niveau de sécurité des données de vos systèmes informatiques adapté aux risques.