RGPD (Règlement général sur la protection des données)

Répondre
Partager Rechercher
Bonjour,

Depuis Mai 2018 est sortie l'obligation de suivre la RGPD (Règlement général sur la protection des données) pour les entreprises : https://fr.wikipedia.org/wiki/Règlem...on_des_données

Visiblement tout le monde semble concerné (micro entreprise comme multinationale) et la CNIL a le droit de sanctionner qui elle veut.

Le fait est que j'ai une entreprise toute petite (ca < 300000 euros) et je reçois depuis peu des appels téléphoniques de sociétés me proposant des audits d'experts pour ma conformité à cette loi, audit facturée de 1000 à 2000 euros. Les intervenants téléphoniques allant jusqu'à me dire en fin d'appel qu'ils ont tout enregistré et que si je ne suis pas leurs directives ils me balancent à la CNIL qui débarquera en me sanctionnant d'une amende pouvant aller jusqu'à 5% du CA. Récemment quelqu'un se disant de l'afsmd m'a téléphoné par exemple.

Quel crédit donner à cela? est-ce que c'est légal et réellement fondé?

Dans le meilleur des cas quelqu'un a t'il une marche à suivre pour bien se mettre en conformité? (autre chose que le truc vague sur le site de la cnil) Par exemple moi dans mon cas je fais uniquement de la vente pro donc les seules données que j'ai ce sont des noms et adresses déjà diffusées sur le net via le site internet des clients et en salarié j'ai juste un mec en alternance avec son école.

Merci d'avance
Citation :
Publié par Palette
Quel crédit donner à cela? est-ce que c'est légal et réellement fondé?

Dans le meilleur des cas quelqu'un a t'il une marche à suivre pour bien se mettre en conformité? (autre chose que le truc vague sur le site de la cnil) Par exemple moi dans mon cas je fais uniquement de la vente pro donc les seules données que j'ai ce sont des noms et adresses déjà diffusées sur le net via le site internet des clients et en salarié j'ai juste un mec en alternance avec son école.

Merci d'avance
Apparemment, il y a pas mal d'arnaques : https://www.cnil.fr/fr/pratiques-abu...PD-CNIL-DGCCRF
Sur la même page, il y a des liens d'aides à la mise en conformité (je ne les ai pas lus ).

Sinon pour ton salarié, dans ma boîte on a eu une attestation à signer nous expliquant quelles données la société a sur nous et quelle utilisation en est faites (en gros, nos coordonnées et de quoi verser les salaires). A ce niveau là, ça semble assez simple.
C'est à la mode en ce moment dans les boites de service info aux entreprises. Ils contactent de manière assez agressive les PME-TPE sur qui il y a du bif' a se faire vu le potentiel de gens qui n'y connaissent rien (typiquement la petite entreprise de service <20 salariés).

Dans ton cas si ces données sont disponibles sur les sites de tes clients tu n'a pas à t'inquiéter, en revanche si tu archive informatiquement les transactions/factures/etc, là tu vas devoir faire plusieurs choses.

Bien entendu ne réponds pas à ces boites qui vont te plumer dans tous les cas et cherche plutôt un auto-entrepreneur qui connait la nouvelle réglementation et qui saura très bien te faire l'audit pour beaucoup moins cher (ça peut être compliqué à trouver si tu es en campagne).
Une fois que l'audit est fait et que tu sais exactement ce que tu dois faire, là seulement tu peux contacter une boite de service info pour un devis (n'hésite pas à faire jouer la concurrence).
Citation :
Publié par Palette (#30320092
Le fait est que j'ai une entreprise toute petite (ca < 300000 euros) et je reçois depuis peu des appels téléphoniques de sociétés me proposant des audits d'experts pour ma conformité à cette loi, audit facturée de 1000 à 2000 euros. Les intervenants téléphoniques allant jusqu'à me dire en fin d'appel qu'ils ont tout enregistré et que si je ne suis pas leurs directives ils me balancent à la CNIL qui débarquera en me sanctionnant d'une amende pouvant aller jusqu'à 5% du CA. Récemment quelqu'un se disant de l'afsmd m'a téléphoné par exemple.

Quel crédit donner à cela? est-ce que c'est légal et réellement fondé?
Salut,

Travaillant sur la mise en place du RGPD dans mon entreprise, ne donne aucun crédit à ce genre d'entreprise.
Déjà ils te donnent des informations erronées (le montant de l'amende notamment), et seule la CNIL est habilitée à contrôler la mise en conformité.

Pour le moment, la CNIL a conscience de la difficulté qu'ont les entreprises à se mettre en conformité (même si on avait un délai de 2 ans pour s'y mettre), et en cas de contrôle, il te suffira de prouver que tu as entamé une démarche de mise en conformité (je dis bien pour le moment).

Citation :
Publié par Corbeau
Apparemment, il y a pas mal d'arnaques : https://www.cnil.fr/fr/pratiques-abu...PD-CNIL-DGCCRF
Sur la même page, il y a des liens d'aides à la mise en conformité (je ne les ai pas lus ).
Citation :
Publié par Pandora's Reborn
C'est à la mode en ce moment dans les boites de service info aux entreprises. Ils contactent de manière assez agressive les PME-TPE sur qui il y a du bif' a se faire vu le potentiel de gens qui n'y connaissent rien (typiquement la petite entreprise de service <20 salariés).

Dans ton cas si ces données sont disponibles sur les sites de tes clients tu n'a pas à t'inquiéter, en revanche si tu archive informatiquement les transactions/factures/etc, là tu vas devoir faire plusieurs choses.

Bien entendu ne réponds pas à ces boites qui vont te plumer dans tous les cas et cherche plutôt un auto-entrepreneur qui connait la nouvelle réglementation et qui saura très bien te faire l'audit pour beaucoup moins cher (ça peut être compliqué à trouver si tu es en campagne).
Une fois que l'audit est fait et que tu sais exactement ce que tu dois faire, là seulement tu peux contacter une boite de service info pour un devis (n'hésite pas à faire jouer la concurrence).
Yep, les PME sont particulièrement ciblées par ce genre d'escroc malheureusement, car les PME n'ont généralement aucune connaissance sur le traitement des données, et leur stockage/archivage.

+1 pour entrer en contact avec d'autres gérants de PME qui ont déjà avancé sur le sujet, ça pourra peut-être t'aider.

@Palette Si jamais t'as une question particulière, n'hésite pas à m'envoyer un MP, sait-on jamais
De toute manière, la personne te menace tu prends ses coordonnées et tu signales directement à qui de droit surtout la dessus.
Après pour la RGPD tu as un interlocuteur, c'est la CNIL. C'est long mais avoir un rendez vous est possible sans trop de problème.

A part du temps, cela ne te coutera pas grand chose et tu seras 1) rassuré et 2 prouver ta bonne foi sera plus simple.
Je suis dans ce cas aussi, je viens de reprendre une entreprise (depuis février) ou je suis solo. Je suis en pleine saison, donc j'ai pas du tout le temps en ce moment (en plein gros pic de saison pour moi) pour voir ça, mais est-ce que je peux faire un truc tout de même ?
Je travail pas mal avec les mairies et les pros.
Honnêtement le risque qu'une TPE ou une petite PME soit contrôlée dans les mois qui viennent doit être proche de 0.

L'idée est avant tout de protéger le consommateur. Les grosses entreprises BtoC ont plutôt intérêt à être au taquet. Les entreprises de moins de 50 salariés qui bossent en BtoB auront juste à faire le minimum de diligences pas besoin de trop se stresser.

On verra ce que donneront les premiers contrôles.

(C'est mon humble avis hein).

++ RiC
Citation :
Publié par RiC
Honnêtement le risque qu'une TPE ou une petite PME soit contrôlée dans les mois qui viennent doit être proche de 0.

L'idée est avant tout de protéger le consommateur. Les grosses entreprises BtoC ont plutôt intérêt à être au taquet. Les entreprises de moins de 50 salariés qui bossent en BtoB auront juste à faire le minimum de diligences pas besoin de trop se stresser.

On verra ce que donneront les premiers contrôles.

(C'est mon humble avis hein).

++ RiC
Oui il faut pas non plus partir en parano là dessus.

De toute manière la sanction n'est pas directe, ce sera d'abord un avertissement, une mise en demeure et pour finir la sanction. Les premiers contrôles devraient se tourner vers les entreprises possédant un ou plusieurs sites web où sont accessibles des données clients afin de vérifier que rien ne fuite/ne soit là par inadvertance, et se feront à distance par les contrôleurs de la CNIL.
Merci pour les infos , me semblait bien que ça devait être une arnaque légale du style des mises en conformités pour les accès handicapés. Mais le grave dans l'histoire c'est que ce sont des grosses boites connues qui se livre à cette merde, en l’occurrence l'afsmd dans ce cas qui est l'organisme de surveillance des marques.
Reste que, pour l’anecdote, j'avais oublié que les voyous ont été jusqu'à me créer un login et mot de passe pour soit disant avoir mon accès perso audit sur leur site, sans aucun accord de ma part. Le commercial dit juste je vous envoie un email d'info après avoir pris mon nom et prénom et on reçoit direct un e-mail avec création de l'espace perso pour nous faire croire qu'on est déjà engagé dans le processus.

Même si j'imagine ces boites font en sorte de ne pas franchir la ligne pour ne pas être attaquable en justice, il n'y a pas moyen de dénoncer quelque part? au moins pour que des gens ne se fassent pas avoir
Citation :
Publié par Palette
Merci pour les infos , me semblait bien que ça devait être une arnaque légale du style des mises en conformités pour les accès handicapés. Mais le grave dans l'histoire c'est que ce sont des grosses boites connues qui se livre à cette merde, en l’occurrence l'afsmd dans ce cas qui est l'organisme de surveillance des marques.
Reste que, pour l’anecdote, j'avais oublié que les voyous ont été jusqu'à me créer un login et mot de passe pour soit disant avoir mon accès perso audit sur leur site, sans aucun accord de ma part. Le commercial dit juste je vous envoie un email d'info après avoir pris mon nom et prénom et on reçoit direct un e-mail avec création de l'espace perso pour nous faire croire qu'on est déjà engagé dans le processus.

Même si j'imagine ces boites font en sorte de ne pas franchir la ligne pour ne pas être attaquable en justice, il n'y a pas moyen de dénoncer quelque part? au moins pour que des gens ne se fassent pas avoir
A part le commentaire sur Google il n'y a pas grand chose de possible à faire contre ce genre de pratiques malheureusement.
Wait... Les mecs qui te démarchent à base de FUD pour te mettre en règle au sujet de la RGPD te créent un compte chez eux (donc une entrée BDD etc te concernant) sans te demander ton avis?

C'est énorme, trollception, y'a moyen des les signaler à la cnil?
Citation :
Publié par Assurancetourix
Wait... Les mecs qui te démarchent à base de FUD pour te mettre en règle au sujet de la RGPD te créent un compte chez eux (donc une entrée BDD etc te concernant) sans te demander ton avis?

C'est énorme, trollception, y'a moyen des les signaler à la cnil?
Pratique courante, ils ne mettent aucune info dans le compte, c'est juste un login/mdp random sans aucune infos renseignées avant que le possible futur client accepte.
Citation :
Publié par Pandora's Reborn
Pratique courante, ils ne mettent aucune info dans le compte, c'est juste un login/mdp random sans aucune infos renseignées avant que le possible futur client accepte.
Bah d'après le message cité ils ont son nom+prénom+email.
Citation :
Publié par Assurancetourix
Wait... Les mecs qui te démarchent à base de FUD pour te mettre en règle au sujet de la RGPD te créent un compte chez eux (donc une entrée BDD etc te concernant) sans te demander ton avis?

C'est énorme, trollception, y'a moyen des les signaler à la cnil?
C'est justement la réflexion que je me suis faite, le type ayant collecté mes données persos (prénom, nom, portable, e-mail) et m'a signalé en fin de conversation que tout a été enregistré alors que normalement cela doit être en début...mais bon je suppose que c'est probablement du bluff.

Concernant la création de compte, ils ont visiblement utilisé mon e-mail perso comme login de connexion sur leur site, sans mon avis et acceptation. le mec s'est fournie mon email en début de conversation lorsqu'il se faisait passer plus ou moins pour un organisme officiel.

Si c'est possible de les dénoncer ça serait vraiment très drôle: l'arroseur arrosé
Le gars qui a collecté tes données aurait du te fournir les informations suivantes au moment de la collecte (article 13 RGPD): https://www.cnil.fr/fr/reglement-eur...tre3#Article13

S'il ne l'a pas fait il est déjà en violation du RGPD et s'expose à une amende

Tu peux faire valoir auprès de lui un droit d'opposition pour traitement non-conforme (article 21 RGPD): https://www.cnil.fr/fr/reglement-eur...tre3#Article21. S'il ne respecte pas ton droit d'opposition c'est encore plus grave

Tu peux aussi le signaler à la CNIL: https://www.cnil.fr/fr/plaintes
Citation :
Publié par Palette

Dans le meilleur des cas quelqu'un a t'il une marche à suivre pour bien se mettre en conformité? (autre chose que le truc vague sur le site de la cnil) Par exemple moi dans mon cas je fais uniquement de la vente pro donc les seules données que j'ai ce sont des noms et adresses déjà diffusées sur le net via le site internet des clients et en salarié j'ai juste un mec en alternance avec son école.

Merci d'avance
La meilleure marche à suivre est avant tout celle du bon sens : Le RGPD n'a pas été conçu dans le but de s'attaquer aux pme où aux entreprises dont le métier n'est pas la gestion des données personnelles. Concrètement, si tu ne rentres dans aucun de ces critères tu n'as aucun soucis à te faire :

- Gestion de données personnelles par traitements de masse
- Activité principale de l'entreprise concernant la collecte des données personnelles
- Traitements de données personnelles dites sensibles (santé, mineurs, bancaire)
- Traitements de profiling automatisés

La psychose autour du RGPD est au moins aussi néfaste que les entreprises qui abusent de nos données... Le sens du réglement est plutôt de calibrer le droit européen pour contrer les GAFA et les modèles économiques sauvages autour de la monétisation de la donnée personnelle. Les entreprises lambda n'ont aucun soucis à se faire...

Et pour info la CNIL n'ira pas contrôler d'elle même une entreprise, c'est le principe d'accountability. Par contre, en cas de dénonciation ou diffusion publique de données à caractère personnelle impactant la vie privée des personnes concernées, là elle va venir toquer et gare à l'entreprise qui ne montrera pas patte blanche...
Répondre

Connectés sur ce fil

 
1 connecté (0 membre et 1 invité) Afficher la liste détaillée des connectés