Je demanderai mes données personnelles dès l’entrée en vigueur du RGPD.
C’est la réflexion que se fait beaucoup de monde. Parmi toutes ces personnes qui vont demander à accéder à leurs données personnelles figurent certainement vos clients.
Le RGPD prévoit une obligation de transparence à la charge des entreprises
Cette obligation de communication à la charge des entreprises est prévue à l’article 12 du Règlement. Il s’agit de permettre à toute personne d’obtenir gratuitement, l’accès aux données à caractère personnel, et leur rectification ou leur effacement, et l’exercice d’un droit d’opposition.
Quand votre client présentera sa demande par voie électronique, vous devrez fournir les informations sous une forme électronique d’usage courant. Vous ne pourrez demander le paiement de frais raisonnables basés sur vos coûts administratifs que pour toute copie supplémentaire demandée par votre client. En d’autres termes, la première demande d’information faite par un client doit être gratuite pour lui (article 12 point 5).
Vous avez un mois pour répondre à votre client (article 12, point 3). Toutefois, ce délai peut être rallongé en raison de la complexité et du nombre de demandes. En cas de rallongement de délai, vous devez bien sûr prévenir votre client. Le règlement le prévoit mais c’est avant tout une question de politesse.
Le RGPD prévoit un cas dans le cas vous n’êtes pas tenu de répondre à la demande de votre client : sa demande est manifestement infondée ou excessive. Ce sera le cas si votre client fait des demandes répétées. Ce sera à vous de prouver le caractère excessif de la demande.
Là encore le Règlement vous impose d’informer votre client de votre refus. Dans ce cas, votre client pourra saisir la CNIL ou saisir la justice.
Le RGPD garantit d’autres droits à vos clients
L’entrée en vigueur du RGPD renforce vos obligations vis-à-vis de vos clients.
La preuve du consentement de traitement de données personnelles
Si vous avez mis en place un traitement de données personnelles, vous devez, en tant que responsable du traitement être en mesure de prouver que la personne concernée a consenti au traitement de ses données à caractère personnel. Si vous avez un doute, non pas sur le fait que la personne ait bien donné son consentement mais sur votre capacité à le prouver, vous devrez effacer les données concernées. Cette preuve pourra être difficile à rapporter notamment pour l’email marketing où les pratiques passées étaient plus laxistes.
De plus, si le consentement de la personne concernée est donné dans le cadre d’une déclaration écrite qui concerne également d’autres questions, la demande de consentement doit être présentée de manière clairement distincte des autres, sous une forme intelligible et facilement accessible, en utilisant un langage clair (article 7 point 2 du RGPD).
Un consentement au traitement à la main de vos clients
Ce sont vos clients qui seront maître du consentement qu’ils ont donné.
En effet, la personne concernée a le droit de retirer son consentement à tout moment. Le retrait de son consentement n’affecte pas la légalité du traitement fondé sur le consentement avant son retrait. Avant de donner son consentement, la personne concernée doit en être informée.
Il doit être aussi facile de se revenir sur son consentement que de le donner (article 7 point 3 du RGPD).
Au moment de déterminer si le consentement est donné librement, il faut tenir le plus grand compte de la question de savoir, entre autres, si l’exécution d’un contrat, est subordonnée au consentement au traitement de données à caractère personnel qui n’est pas nécessaire à l’exécution dudit contrat (article 7 point 4 du RGPD). Il s’agit de ne pas tromper ses clients sur l’obligation ou non de consentir au traitement des données.
Vous devrez peut être revoir votre stratégie de recueil de données personnelles. Vous recueillerez sans doute moins de données personnelles mais elles seront mieux valorisées.
Concernant les enfants mineurs, le Règlement fixe la limite d’âge à 16 ans. Avant cet âge, le consentement est donné par le titulaire de la responsabilité parentale – le père ou la mère le plus souvent.
Cette nouvelle réglementation s’appliquera si votre entreprise à son siège dans l’Union européenne. Elle s’appliquera également aux entreprises ayant leur siège hors de l’Union européenne mais ayant des clients résidant dans l’Union.
êtes-vous prêt à répondre dès le 26 mai 2018 au premières demandes de vos clients ?
Bonjour je vous avoue que j’ai un peu de mal à préparer certains clients pour cela d’après vous pour un site e-commerce qui enregistre des adresses mails postales, nom, prénom exetera est-ce que c’est ce type de données que l’on doit exporter où doit-on également exporter historique des commandes?
Il n’y a pas de liste limitative de ce que l’on doit considérer comme une donnée personnelle. Il s’agit de toute donnée permettant d’identifier avec certitude une personne.
Si un historique de commande permet à lui seul d’identifier un client parmi l’ensemble de la clientèle d’un magasin, cet historique devra donc être communiqué au client qui en fait la demande. Je pense toutefois que cette hypothèse est rare dans les faits.