Le 25 mai 2018, le Règlement général de l’Union européenne sur la protection des données (RGPD) entrera en vigueur. Ce nouveau règlement vise à remplacer la loi informatique et liberté. C’est la CNIL qui est chargé de contrôler et de sanctionner les infractions au RGPD.

• La RGPD : Ce qu’il faut savoir concernant la gestion des données personnelles 
  – La déclaration simplifiée à la CNIL est supprimée. C’est la Réglementation Générale sur la Protection des Données n°2016/679 (RGPD) qui la remplace. Son objectif est de protéger les données personnelles de vos clients. Le consentement, le droit d’accès, de modification ou de suppression, et la transparence sont les points à renforcer.

ACTIONS A MENER PAR LE CLUB :

• Nommer un DPO : Vous devez nommer un délégué à la protection des données (DPO) interne ou externe à votre société. Son rôle est de s’assurer de la bonne mise en place des normes RGPD, de sensibiliser à leurs obligations les responsables et les salariés du club.
• Consentement des clients : Vos clients doivent être informés de l’utilisation de leurs données et il est obligatoire de recueillir leur consentement au traitement des données personnelles dans vos conditions générales de vente (CGV).
• Données utiles : Attention, ne saisissez que les données dites « utiles » à la gestion de votre club, comme le nom, prénom, adresse, e-mail, téléphone, RIB… En cas de saisie de données professionnelles, une justification sera requise.
• Données sensibles : Evitez la saisie de données sensibles (par exemple : religieuses, génétiques, sexuelles et biométriques).
• Protection des données : Le DPO devra renforcer la sauvegarde de votre base de données « clients » à l’aide de sauvegardes journalières et externes, conservés dans un lieu sécurisé.
• Portabilité des données : Les clients étant propriétaires de leurs données, ils doivent pouvoir récupérer simplement tout leur historique dans un format exploitable (Excel, csv).

• Registre de conformité : Vous devez identifier tous les traitements des données, et indiquer le flux géographique de ces informations, en notifiant cela dans un registre. Attention, Un « traitement de données » peut être un simple fichier Excel regroupant ces informations. Vous pouvez télécharger un exemplaire ici sur le site de la CNIL.
• Anonymisation des données : A la demande de vos clients ou en automatique, vous devrez rendre anonyme les anciens clients dans vos bases de données dans un délai raisonnable.
• Sécurisation des données : Nous vous rappelons que l’accès aux données doit être réservé au personnel autorisé. En outre, pour respecter la loi, la base de données située sur le disque d’un ordinateur doit être sécurisée au minimum dans une pièce avec une porte fermée à clé.
• Procédure en cas de vol de données : Vous devez mettre en place une procédure qui consiste à faire une déclaration de violation des données à la CNIL et avertir les clients concernés. Il est recommandé de conserver les déclarations effectuées dans un registre, en cas de contrôle.

RAPPEL : Les sanctions en cas de non respect de la RGPD sont dissuasives : 20 millions d’euros pour les TPE et PME ou 4% du chiffre d’affaires mondial pour les structures plus grosses.

Les procédures demandées sont assez simple à mettre en place. Faites le au plus vite. N’hésitez pas à nous contacter pour tous renseignements complémentaires. 

D’autre part, vous pouvez consulter les conseils de la CNIL sur le RGPD pour TPE-PME ici