RGPD pour les commerces de proximités

RGPD : règlement général sur la protection des données

Depuis le 25 mai 2018, toutes les entreprises, TPE et PME dont font partie les épiciers, cavistes et spécialistes en produits bio, ont l’obligation d’appliquer le règlement européen relatif à la protection des données à caractère personnel et de tenir un Registre de Protection des Données Personnelles.

Le RGPD est un règlement visant à protéger les données personnelles de chacun. Il instaure plusieurs principes de base sur la gestion des données :

  • Loyauté et transparence : il faut demander leur consentement aux personnes concernées, en expliquant la raison de la collecte
  • Limitation des nalités : les données collectées doivent être utilisées aux fins indiquées aux personnes concernées
  • Exactitude et mise à jour des données
  • Limitation de la conservation : ne pas conserver les données plus longtemps que nécessaire
  • Intégrité et confidentialité : le fichier doit être sécurisé.

Focus sur l’article 30 du RGPD et le registre de protection des données personnelles.

Les entreprises ou organisations de moins de 250 employés bénéficient d’une dispense sauf lorsqu’elles tombent dans l’une des quatre hypothèses suivantes :

  1. Le traitement est susceptible de comporter un risque pour les droits et libertés des personnes concernées (traitement donnant lieu à une discrimination, révélant l’origine raciale…)
  2. Le traitement n’est pas occasionnel c’est-à-dire selon la Commission de la Protection de la Vie Privée lorsqu’il est habituel exemple : les traitements de données liés à la gestion du personnel, des fournisseurs ou de la clientèle ne sont pas occasionnels
  3. Le traitement effectué porte sur des catégories particulières de données, appelées « données sensibles ». Ces dernières concernant l’origine raciale, ethnique, la religion, les convictions, les opinions politiques ou toute autre opinion, l’appartenance à un syndicat, la santé, la vie sexuelle ou l’orientation sexuelle d’une personne
  4. Le traitement effectué porte sur des données judiciaires.

Quelles informations doit contenir le registre ?

De façon simplifiée, ces informations devront permettre de répondre aux 6 questions suivantes :

Source : CNIL

Qui ? Le nom et les coordonnées du responsable de traitement et du responsable conjoint du traitement, du sous-traitant, du représentant du responsable de traitement et du délégué à la protection des données ;

Pourquoi ? La nalité du traitement des données

Quoi ? Il s’agit d’une description des catégories de personnes concernées – en isolant les mineurs – et des données traitées – en isolant les données sensibles – pour chacune des nalités identifiées

Où ? Déterminez le lieu où les données sont hébergées et indiquez vers quels pays les données sont éventuellement transférées

Jusqu’à quand ? Indiquez, pour chaque catégorie de données, combien de temps vous les conservez

Comment ? Quelles mesures de sécurité sont mises en œuvre pour minimiser les risques d’accès non autorisés aux données et donc d’impact sur la vie privée des personnes concernées ?

A noter : La désignation d’un responsable du traitement – dit DPO – est obligatoire lors d’un traitement à grande échelle. Cette notion n’a pas été définie, mais il semble évident que les commerces de proximité ne traitent pas beaucoup de données personnelles que ce soit dans leur base salariés ou leur base clients.

Du point de vue du chef d’entreprise, l’entrée en vigueur du RGPD concerne également les données personnelles des salariés !

 


 

Extrait de

La revue du détaillant : N°587 -Juillet/Août 2018

Recevez la Revue du détaillant au complet par email !