RGPD

Le Règlement Général pour la Protection des Données, émanation d’un règlement européenne d’Avril 2016 est entré en vigueur le 25 Mai 2018. Le texte détaillé est disponible sur le site de la CNIL.

1. Objet

Conséquence de la numérisation de la société et de la mondialisation de l’économie, le RGPD succède à la loi Informatique et Liberté dont la version initiale datait de 1978. Les principes directeurs de ce règlement sont les suivants :

  • Reconnaissance que les données personnelles appartiennent aux personnes qui acceptent de les partager. Ceci est très différent du modèle américain qui considère que les données appartiennent à ceux qui les collectent. Voire les nombreux scandales liés au partage de données Facebook ou au vol d’information.
  • Responsabilisation des entreprises et sous-traitants effectuant du traitement de données (collecte, analyse, profilage) : contrairement à la loi précédente (Informatique et Liberté, qui demandait que soit déclaré à la CNIL tout fichier de données) il est dorénavant attendu que les Entreprises se conforment au RGPD de par leur organisation, leurs collaborateurs (sensibilisés au sujet) et leurs outils (de sécurité informatique principalement).
    Elles peuvent à tout moment être contrôlées par la CNIL et doivent montrer pattes blanches : fiches de traitement détaillées, analyse d’impact et plan de gestion de crise en cas de perte ou de vol de données sensibles (médicales, religieuses, politiques …).
    En cas de non-respect du règlement elles risquent jusqu’à 4% de leur CA en amende.
  • Propriétaires de leurs données personnelles, les clients peuvent à tout moment demander à y avoir accès, à ce qu’elles soient modifiées, à ce qu’elles soit effacées (droit à l’oubli), ou à ce qu’elle soient transférées à d’autres entreprises (en cas de transfert de contrat par exemple).

2. Stratsat et le RGPD

Dans les cadres de nos activités d’enquêtes nous sommes appelés à collecter et à analyser des données personnelles auprès des clients de nos propres clients : leurs préférences, leurs goûts, leurs attentes, leur satisfaction envers tel produit ou tel service, …

Nous sommes alors considérés par le RGPD comme des sous-traitants de nos clients qui restent, eux, les responsables du traitement. Les responsabilités respectives d’un sous-traitant et d’un responsable du traitement sont définis avec précision dans le RGPD.

Stratsat s’appuie d’autre part sur l’outil d’enquête ‘Survey Manager’, édité par la société Vocaza (www.vocaza.com) dont les solutions sont en conformité avec le RGPD : hébergement des données en Europe, hachage des mots de passe, cryptage des données personnelles, traçage de l’accès à ces données (qui et quand).

3. Mise en oeuvre

Fiche de traitement

Pour chaque traitement de données personnels Stratsat tient à jour une fiche de traitement qui regroupe les informations suivantes. Ces fiches sont regroupées dans un registre à la disposition de la CNIL.

  • la finalité du traitement
  • la durée de conservation des données
  • le destinataire du traitement
  • les coordonnées du responsable du traitement

Consentement des personnes

Lors de la collecte de données personnelles -typiquement dans le cadre d’enquêtes de Satisfaction- il est précisé explicitement le cadre de cette collecte. Une mention RGPD est incluse soit en bas de page de l’email d’invitation à répondre à l’enquête, soit dans le corps de l’enquête (première page en général). Les informations décrites au paragraphe précédent (finalité, durée, destinataire, coordonnées) sont renseignées dans cette mention.

Droits des personnes

Conformément au RGPD, les personnes qui ont donné leur accord pour le traitement des données à un moment donné, ont les droits suivants :

  • Accès : ils peuvent demander au responsable du traitement et au sous-traitant d’avoir accès aux données collectées et au traitement qui en est fait
  • Rectification : ils peuvent demander à ce que leurs données soit modifiées ou mises à jour
  • Portabilité : ils peuvent demander à ce que leurs données soient transférées à un autre prestataire (déjà en place pour les assurances par exemple)
  • Effacement (ou oubli) : ils peuvent demander que leurs données soient effacées, et ce complètement (y compris les sauvegardes éventuelles)

Ces différents droits sont exerçables auprès de Stratsat, par e-mail (contact@stratsat.fr) ou voie postale (Olivier Pinczon du Sel, Stratsat, 5 chemin des Vieux Puits 13710 Fuveau). Nous nous engageons alors à respecter ce droit dans un délai d’1 mois et à vous le confirmer par retour d’e-mail ou de courrier postal.