Le volume et la richesse des données clients ne cessent de progresser. L’exploitation de ces données se diversifient, la gouvernance de son traitement évolue, des règles de transparence existent. Pour harmoniser les pratiques au sein de l’Union Européenne et favoriser la libre circulation des données, un règlement européen sur la protection des données à caractère personnel – RGPD – a été publié au Journal Officiel le 4 mai 2016. Sa mise en application débute le 25 mai 2018.
Se former en ligne
La CNIL a développé un MOOC (formation en ligne, en autonomie) appelé « L’atelier RGPD ». IL est accessible à tous, gratuit, et disponible jusqu’en septembre 2021.
> Se former avec 'L'atelier RGPD'
Formation en ligne, gratuite, proposée par la CNIL. 4 modules avec une durée moyenne de 5 heures : le RGPD et ses notions clés, les principes de la protection des données, les responsabilités des acteurs, le DPO et les outils de conformité. Une FAQ est également disponible, ainsi qu’un forum.
Suivre le MOOCL’actualité du sujet
Ce règlement européen concerne tout le monde. La loi du 20 juin 2018 relative à la protection des données traduit dans la loi française les dispositifs du règlement européen. Pour comprendre et accompagner la mise en conformité, un ensemble de documentations méthodologiques existent dont voici quelques exemples :
- Par où commencer ? La boîte à outils de la CNIL https://www.cnil.fr/fr/rgpd-par-ou-commencer
- le Guide pratique pour les petites entreprises publié en avril 2018 par la BPI France et la CNIL
- L’outil PIA de la CNIL pour l’analyse d’impact https://www.cnil.fr/fr/outil-pia-telechargez-et-installez-le-logiciel-de-la-cnil
- La Pour mieux appréhender ce nouveau cadre, Offices de Tourisme de France vous propose dès aujourd’hui la mise à disposition d’une fiche technique RGPD réalisée par le cabinet Capstan Avocats pour Offices de Tourisme de France.
- un article sur le blog etourisme.info, datant du 20 mars 2018, de Nicolas Barret : Données personnelles : le RGPD, contrainte ou opportunité ?
De quoi s’inspirer sur les nouvelles mises à jour de la politique de confidentialité de grandes entreprises comme Blablacar et Airbnb et bien d’autres dans vos boîtes mails.
Trois points de résumé pour poser le cadre :
- Je ne suis plus dans un régime déclaratif mais dans un régime de responsabilisation
- Je suis dans l’obligation de préciser explicitement l’usage ou les usages des données récoltées auprès des usagers
- Je suis dans l’obligation de mettre en place une gouvernance et une normalisation pour la collecte, le traitement et l’exploitation des données, le stockage
Les grands principes du règlement :
- responsabiliser les acteurs traitant des données
- renforcer le droit des personnes (exemple : droit à la portabilité des données, protection des mineurs…)
- crédibiliser le régularisation de la gestion des données notamment transfrontalière
Les grandes mesures :
- consentement clair et explicite des usagers pour la collecte de leurs données
- préciser à quelles fins ces données sont collectées
- préciser clairemement les usages direct et indirect
- droit de modification et de suppression
- responsabilisation sur la sécurité des données conservées
- identification d’un responsable du traitement des données
- Le texte tend à favoriser les pseudonymes pour l’anonymat. On parle de pseudonymisation et d’anonymisation. Les articles 5 et 6 renforcent les principes relatifs au traitement des données à caractère personnel déjà abordés dans les précédentes règlementations
Zoom sur de nouvelles obligations :
- Signalement de toute anomalie détectée dans un délai maximum de 72h après la détection du problème
- Création et identification d’un délégué à la protection des données qui doit gérer les données bien sûr mais aussi les relations entre les gestionnaires des données (sous-traitants inclus) et les autorités de surveillance. Ce délégué est obligatoire pour toute structure publique notamment
Foire aux questions & support de formation
Le document « Foire aux questions » synthétise un certain nombre de questions soulevées lors de rencontres sur la mise en conformité de la RGPD pour le tourisme institutionnel en Nouvelle-Aquitaine. Elles ont conjointement été organisées par la MONA, Gironde Tourisme, Charentes Tourisme, Béarn Pays Basque Tourisme en juin et juillet 2018.
> Foire aux questions sur la mise en conformité RGPD
Ce document synthétise un certain nombre de questions soulevées lors de rencontres sur la mise en conformité de la RGPD pour le tourisme institutionnel en Nouvelle-Aquitaine. Elles ont conjointement été organisées par la MONA, Gironde Tourisme, Charentes Tourisme, Béarn Pays Basque Tourisme en juin et juillet 2018.
Consulter la FAQLe support ci-après est issu des sessions de formations organisées par la MONA en janvier et février 2019, et animée par Cédric Favre, de Kaléo formation.
> RGPD, les principes du traitement
Support de formation élaboré par Cédric Favre pour la formation RGPD 2019.
Téléchargez le document> RGPD, les 6 étapes de mise en conformité
Les 6 étapes préconisées par la CNIL pour se mettre en conformité.
Téléchargez le documentLe webséminaire de septembre 2017
Daniel Lasserre est avocat associé au Cabinet Exeme. Sépcialisé dans le droit commercial, il exerce son activité dans les domaines du droit des affaires dans le domaine des nouvelles technologies et en droit pénal. Ce webséminaire du 13 septembre 2017 revient sur un court historique des réglementations en matière de protection des données personnelles puis aborde les objectifs, les grands principes du nouveau règlement. Des zooms précis sur certains articles permettent d’aborder les nouvelles obligations majeures et des préconisations pour leur mise en oeuvre.
Le webséminaire est en replay sur https://monatourisme.adobeconnect.com/pmjrkytnlhge/