LE FIL

Vignerons comme négociants

Comment être pratique, et pragmatique, face au RGPD

Lundi 21 janvier 2019 par Alexandre Abellan

Comme il n’existe pas de certificat de conformité au RGPD, chaque entreprise doit se pencher sur le dossier avec ses propres moyens et selon son cas particulier.Comme il n’existe pas de certificat de conformité au RGPD, chaque entreprise doit se pencher sur le dossier avec ses propres moyens et selon son cas particulier. - crédit photo : Commission Européenne
La mise en conformité avec la réglementation européenne sur les données personnelles exige un travail d’inventaire propre à chaque opérateur, et pas forcément des mails d’acceptation d’inscription .

En vigueur depuis le 25 mai 2018, le Règlement Européen sur la Protection des Données (RGPD) est encore loin d’être maîtrisé par les entreprises françaises en général, et la filière vin en particulier. Alors que des arnaques à la mise au norme se multiplient, le syndicat des Côtes-du-Rhône rappelle que « la mise en conformité nécessite la mise en place d'actions et d'un suivi sur le long terme. Il n'existe donc pas de charte préétablie et la rédaction d'un tel document ne suffit pas en elle-même à se mettre en conformité. »

C’est toute la complexité de cette réglementation, qui ne se limite pas à un envoi de mails à son fichier client pour valider leur présence dans le carnet d’adresses de l’entreprise. « La loi ne demande pas de requalification des bases de données existantes, mais de mettre en place une acceptation explicite de l’utilisation de ses coordonnées. On ne peut pas précocher un abonnement sans le consentement de la personne » résume Thierry Hardion, le directeur des produits Isagri (propriétaire du Groupe France Agricole, dont fait partie Vitisphere).

Registre des données

En pratique, l’expert conseille à tous les opérateurs retardataires de se pencher sur les textes réglementaires (notamment les guides et bonnes pratiques publiés par la Commission Nationale de l’Informatique et des Libertés). Parmi toutes les exigences réglementaires, Thierry Hardion estime que la cartographie complète des données personnelles* en la possession de l’entreprise est une action prioritaire. Cet inventaire concerne aussi bien les logiciels de bureautiques, de comptabilité et de clientèle, que les données papiers disséminés dans les locaux. Pour l’expert, la principale faille concerne les multiples tableurs contenant des informations sur les employés. Comme le nombre d’enfants ou les dates d’anniversaire. « Ce sont des informations hautement personnelles qui ne sont souvent pas du tout sécurisées, alors qu’elle tombent sous le cadre de la loi » prévient Thierry Hardion.

Une fois que l’inventaire des données personnelles est réalisé, l’entreprise doit les sécuriser. Et notifier aux personnes concernées tout piratage de ses bases de données. L’opérateur doit également permettre aux personnes physiques de demander à l’entreprise manipulant des informations sur elles la transmission de ces données, ainsi que leur correction ou leur suppression pour être en conformité avec le cadre légal.

"Obtempérer aux demandes"

Si le montant des amendes maximales pour non respect du RGPD peuvent inquiéter (4 % du chiffre d’affaires, jusqu’à 20 millions d’euros), l’expert relativise ces sanctions possibles avec la réalité du préjudice causé. Les données personnelles réellement sensibles (orientations politiques, religieuses et sexuelles) n’ont pas à être collectées dans une activité normale de la filière vin. « Il ne faut pas stocker les données inutiles et obtempérer aux demandes de suppression d’information » conclut avec pragmatisme Thierry Hardion.

 

* : Une donnée personnelle est définie par le guide d’Isagri sur le RGPD comme une information « qui permet d’identifier précisément une personne : nom, prénom, téléphone, email, numéros d’identification pour l’administration, la sécurité sociale… » Mais aussi « toute donnée attachée à une personne identifiable : adresse personnelle, données physiques, physiologiques, économique, culturelle, voix, image… » Le groupe informatique précise que « certaines données personnelles sont aussi qualifiées de « sensibles » (santé, judiciaire, religion, ethniques …) et ne doivent pas être conservées sauf pour raisons légales et explicites. »
 

Le RGPD qui ?

Réalisé fin décembre 2018, un sondage Vitisphere donne un ordre de grandeur l'étendue de la méconnaissance du RGPD dans la filière vin. La majorité des sondés, 39 %, ne savent pas ce que signifie et implique cet acronyme. Un tiers des répondants ne prend pas le sujet au sérieux faute de contrôle ou de compréhension du sujet.

RÉAGISSEZ A L'ARTICLE

Recopier le code :
Processing
Voir toutes les réactions
© Vitisphere 2019 - Tout droit réservé