Vignerons comme négociants

Comment être pratique, et pragmatique, face au RGPD

n vigueur depuis le 25 mai 2018, le Règlement Européen sur la Protection des Données (RGPD) est encore loin d’être maîtrisé par les entreprises françaises en général, et la filière vin en particulier. Alors que des arnaques à la mise au norme se multiplient, le syndicat des Côtes-du-Rhône rappelle que « la mise en conformité nécessite la mise en place d'actions et d'un suivi sur le long terme. Il n'existe donc pas de charte préétablie et la rédaction d'un tel document ne suffit pas en elle-même à se mettre en conformité. »

C’est toute la complexité de cette réglementation, qui ne se limite pas à un envoi de mails à son fichier client pour valider leur présence dans le carnet d’adresses de l’entreprise. « La loi ne demande pas de requalification des bases de données existantes, mais de mettre en place une acceptation explicite de l’utilisation de ses coordonnées. On ne peut pas précocher un abonnement sans le consentement de la personne » résume Thierry Hardion, le directeur des produits Isagri (propriétaire du Groupe France Agricole, dont fait partie Vitisphere).

Registre des données

En pratique, l’expert conseille à tous les opérateurs retardataires de se pencher sur les textes réglementaires (notamment les guides et bonnes pratiques publiés par la Commission Nationale de l’Informatique et des Libertés). Parmi toutes les exigences réglementaires, Thierry Hardion estime que la cartographie complète des données personnelles* en la possession de l’entreprise est une action prioritaire. Cet inventaire concerne aussi bien les logiciels de bureautiques, de comptabilité et de clientèle, que les données papiers disséminés dans les locaux. Pour l’expert, la principale faille concerne les multiples tableurs contenant des informations sur les employés. Comme le nombre d’enfants ou les dates d’anniversaire. « Ce sont des informations hautement personnelles qui ne sont souvent pas du tout sécurisées, alors qu’elle tombent sous le cadre de la loi » prévient Thierry Hardion.

Une fois que l’inventaire des données personnelles est réalisé, l’entreprise doit les sécuriser. Et notifier aux personnes concernées tout piratage de ses bases de données. L’opérateur doit également permettre aux personnes physiques de demander à l’entreprise manipulant des informations sur elles la transmission de ces données, ainsi que leur correction ou leur suppression pour être en conformité avec le cadre légal.

Obtempérer aux demandes

Si le montant des amendes maximales pour non respect du RGPD peuvent inquiéter (4 % du chiffre d’affaires, jusqu’à 20 millions d’euros), l’expert relativise ces sanctions possibles avec la réalité du préjudice causé. Les données personnelles réellement sensibles (orientations politiques, religieuses et sexuelles) n’ont pas à être collectées dans une activité normale de la filière vin. « Il ne faut pas stocker les données inutiles et obtempérer aux demandes de suppression d’information » conclut avec pragmatisme Thierry Hardion.

* : Une donnée personnelle est définie par le guide d’Isagri sur le RGPD comme une information « qui permet d’identifier précisément une personne : nom, prénom, téléphone, email, numéros d’identification pour l’administration, la sécurité sociale… » Mais aussi « toute donnée attachée à une personne identifiable : adresse personnelle, données physiques, physiologiques, économique, culturelle, voix, image… » Le groupe informatique précise que « certaines données personnelles sont aussi qualifiées de « sensibles » (santé, judiciaire, religion, ethniques …) et ne doivent pas être conservées sauf pour raisons légales et explicites. »