[mis à jour le 8 juillet 2017] Si vous pensiez avoir fait le plus dur en lisant les (futures) conditions de validité de vos traitements de données personnelles, vous êtes décidément bien innocent(e)… Il faut maintenant s’intéresser au détail des obligations qui s’imposent lors de la collecte des données. Car les sanctions seront (lourdes de chez) lourdes pour celle/celui qui s’en dispenserait ou qui ne pourraient pas rapporter la preuve de l’avoir fait…

Collecte directe / indirecte des données ?

La GDPR n°2016/679 du 27 avril 2016 opère une distinction entre les opérations de collecte directe des données et les opérations de collecte indirectes.

La collecte indirecte ? C’est lorsque une entreprise « achète » un fichier de données personnelles. Par exemple et au hasard ? Pour faire de la prospection commerciale…

Les informations obligatoires

Que la collecte soit directe (art. 13 GDPR) ou indirecte (art.14 GDPR), le responsable du traitement doit fournir à la personne concernée toute une première liste d’informations préalables et obligatoires. Le détail est dans les slides.

Les informations « complémentaires » obligatoires

A la liste précédente, s’ajoute toute une série d’informations « complémentaires » également obligatoires.

Bien entendu, la liste des informations obligatoires et la liste des informations « complémentaires » obligatoire n’est pas la même selon que la collecte soit directe ou indirecte…

Quand fournir les informations obligatoires ?

« au moment où les données en question sont obtenues » en cas de collecte directe.

Et « au moment de la première communication » avec la personne concernée en cas de collecte indirecte

C’est assez simple à retenir ? Rassurez-vous, il y a des dispositions dérogatoires…

La nécessaire re-qualification des bases de données

Tout ça, c’est bien gentil, mais qui dit obligation, dit sanction. Vous ne serez pas surpris de lire que le non respect de la communication des informations obligatoires = « 20 millions ou 4%CA mondial » au maximum. Pour y échapper, il va falloir prouver avoir fourni les informations obligatoires et les « complémentaires » obligatoires.

Et comme la GDPR ne prévoit aucun mécanisme de validation des traitements existants, il va falloir re-qualifier les bases de données clients… Re-collecter le consentement (ou faire part de tout autre fondement juridique). Et re-donner les informations obligatoires si vous ne pouvez prouver l’avoir déjà fait… Et re-commencer si un traitement non initialement prévu est organisé… Plus que TREIZE mois…

ça ne rigole plus du tout ici. Et, je ne vous rassure pas, c’est aussi pénible à lire qu’à exposer (vous avez aussi le choix de la politique de l’autruche…).

Synthèse de la GDPR et audit ?

Maintenant que vous connaissez le « tarif », vous êtes motivé pour vous mettre en conformité ?

Si vous cherchez une synthèse de la GDPR et un début de méthode d’audit, c’est ici qu’il faut cliquer (pour fêter « 1 an » avant l’entrée en vigueur de la GDPR).

Merci encore à Fabrice Lebeault, auteur de ce très remarquable « Horologiom » pour son autorisation de modifier les phylactères originaux. Merci à la Team Delcourt, Lucie Massena et Sébastien Le Foll, pour leur aide et leurs encouragements. Sans vous, cette « GDPR » serait un bien triste cauchemar.