Des fichiers clients aux équipements connectés en passant par les données de vos collaborateurs, votre site internet, mais également la gestion de vos sous-traitants, la question de la collecte des données vous implique dans de nombreuses situations ! De quoi parle-t-on ? Par où commencer ? Lesquels de vos fichiers sont concernés ?
Vous traitez des données ? Vous êtes concerné ! Depuis 2018, tout comme l’ensemble des organisations publiques et privées, les professionnels de la piscine – quelles que soient leur taille- doivent appliquer le Règlement général sur la protection des données (RGPD). Sous peine de lourdes sanctions (une pénalité allant jusqu’à 4% du chiffre d’affaires annuel), ce règlement européen vous impose des obligations en matière de collecte, de traitement et de conservation des données personnelles. Ces informations, vous les manipulez quotidiennement, parfois même sans le savoir : à travers votre fichier clients, votre site internet mais aussi les données que vous possédez sur vos collaborateurs et salariés. Chaque traitement doit avoir un but précis, défini, légitime et justifiable au regard de votre activité. Vous ne pouvez pas collecter ou traiter des informations « au cas où » cela vous serait utile un jour. Une vigilance de chaque instant, qui doit être maintenue dans le temps !
Qu’est-ce qu’une donnée ?
Au sens du RGPD, la donnée est une notion vaste qui concerne toute information se rapportant à une personne physique identifiée ou identifiable, directement (nom, prénom) -ou indirectement (identifiant, numéro de client, adresse, numéro de téléphone, photo, voix…-).
Attention ! Les fichiers papiers sont également concernés et doivent être protégés de la même façon !
Par où commencer ?
1èreétape : Créez un registre détaillé
Faites un état des lieux complet des données que vous collectez (nom, adresse, email, numéro de téléphone, données bancaires, préférences produits, etc.), de quelle manière (informatique ou papier) ainsi que leurs finalités (gestion des commandes, SAV, maintenance, marketing…-). L’objectif ? Visualiser l’ensemble de vos opérations de traitement des données, identifier les risques et déterminer qui, au sein de l’entreprise, peut y avoir accès.
2e étape : Sécurisez et mettez en place des contrôles d’accès
Seuls les employés ayant besoin de traiter ces informations pour leur travail doivent avoir accès aux données. Utilisez des identifiants, des mots de passe forts, des authentifications à deux facteurs… Pour éviter les fuites et les collectes illégales, maintenez à jour vos anti-virus et pare-feu et faites des sauvegardes régulières pour éviter les pertes en cas de défaillance de votre système informatique.
3e étape : Nommez un DPO… ou pas ?
Si la CNIL encourage toutes les entreprises à recourir à un délégué à la protection des données, sa nomination n’est pas obligatoire pour la grande majorité des pisciniers. La question peut éventuellement se poser pour les réseaux et les industriels dont l’activité peut nécessiter un suivi régulier des personnes à grande échelle.
Les fichiers concernés par les RGPD
1. RGPD et fichier clients :
Lorsque vous effectuez une livraison, que vous éditez une facture ou que vous proposez une carte de fidélité, vous collectez de nombreuses informations, vous permettant de construire votre fichier clients. Il est indispensable d’assurer la base légale de votre fichier en obtenant le consentement de vos clients sur l’utilisation des données. Les données que vous collectez doivent servir l’objectif prévu. L’adresse email d’un client, obtenue sur un bon de commande par exemple, ne vous donne pas le droit ensuite, sans son consentement, de lui envoyer une offre promotionnelle car il n’aura pas donné son accord pour cette utilisation précise. Tenez-en compte dans vos stratégies de promotion et de fidélisation.
Bon à savoir si vous faites appel à un sous-traitant :
Que ce soit pour votre gestion comptable ou l’envoi d’emails massif dans le cadre de vos opérations marketing, vous êtes amenés à faire appel à des entreprises sous-traitantes. Missions récurrentes ou prestations ponctuelles, c’est à vous, en tant que responsable de traitement, de déterminer les finalités et les moyens du traitement des données à caractère personnel. Le sous-traitant quant à lui, doit être en mesure de vous apporter des conseils et de vous alerter en cas de risque ou de faille de sécurité. Votre relation doit être formalisée dans un contrat de sous-traitance qui répond aux exigences posées par le RGPD.
Important : Si dans le cadre de sa mission le sous-traitant n’a accès à aucune données personnelles, alors, il n’est pas concerné par le RGPD.
2. RGPD et site internet
Site vitrine ou vente en ligne, tous les sites internet professionnels doivent afficher des mentions obligatoires au risque d’être sanctionnés. Si vous avez un formulaire de contact, par exemple, vous devez informer l’internaute de votre politique de protection des données. En pratique, toutes ces informations peuvent figurer sur une page spécifique rappelant quelles données sont collectées, par qui, dans quel but. En outre, vous devez obtenir le consentement de l’internaute en cas d’utilisation de cookies et d’envois de newsletter. Enfin, vous devez permettre à un utilisateur de faire effacer ses données personnelles s’il le souhaite. Pour vous aider dans la rédaction, vous pouvez faire appel à votre avocat mais il existe également des modèles en ligne.
Vous faites de la vente en ligne ? Des mises à jour techniques et une surveillance régulière de la sécurité du site sont nécessaires. S’il est préférable de vous faire accompagner par un prestataire spécialisé, retenez toutefois quelques règles de sécurité :
- L’ensemble du parcours de vente doit être en HTTPS
- Imposez à vos clients un mot de passe complexe à la création de leur compte
- Ne transmettez pas de données personnelles par email (exemple : mot de passe, coordonnées personnelles)
- Ne conservez pas les coordonnées bancaires de vos clients
- Renseignez-vous auprès de votre banque pour sécuriser la transaction bancaire via les services en ligne de paiement sécurisé
3. RGPD et collaborateurs
En tant qu’employeur, vous êtes amené à traiter de très nombreuses données personnelles sur vos employés. Certaines données dites « sensibles » sont incontournables et vous devez en assurer la confidentialité et la protection (coordonnées bancaires, numéro de sécurité sociale…). Ne demandez à vos employés que les informations utiles pour accomplir leurs missions et ne collectez aucune information comme l’activité syndicale, l’opinion politique, la religion, la santé ou les origines ethniques. Dans le cadre du recrutement d’un nouveau collaborateur, informez les candidats sur ce que vous allez faire des données qu’ils vous communiquent, qui va y avoir accès (service RH, un prestataire ?). Une fois le recrutement effectué, supprimez systématiquement les informations sur les candidats non retenus, sauf s’ils acceptent de rester dans votre « vivier » pour une durée limitée à 2 ans maximum.
4. RGPD et équipements connectés
“Privacy by design”: en amont de la conception des équipements connectésInterfaces en ligne, assistants virtuels, robots de piscine, sondes de mesures des paramètres de l’eau, automatisation de la chimie, filtration intelligente, contrôle de l’éclairage et de la température, sécurité et surveillance… Le fonctionnement même de la gestion automatisée des piscines repose sur la collecte et l’analyse de données. C’est pourquoi les porteurs de projets intègrent le principe de “Privacy by design”– (NDLR : Protection de la vie privée dès la conception du produit) imposé par le RGPD en amont de la fabrication de tout équipement connecté. Ce n’est pas vous mais le fabricant de l’objet connecté lui-même qui est le responsable du traitement des données, qui sont systématiquement anonymisées ! De quoi vous rassurer et gagner la confiance des consommateurs !