L’impact du RGPD sur les sociétés de recouvrement

  • Le RGPD s’applique à toute entreprise qui a une activité de collecte, de traitement et d’utilisation de données personnelles relatives à des citoyens européens.
  • Les sociétés de recouvrement sont concernées par le RGPD.
  • Le RGPD impose trois obligations aux entreprises pour être en conformité : la minimité des données personnelles, l’obtention du consentement des citoyens concernés et la sécurisation des données collectées.

Le RGPD s’applique à toute entreprise (donneurs d’ordre, sous-traitants, prestataires techniques) ayant une activité de collecte, de traitement et d’utilisation de données personnelles relatives à des citoyens européens. Dans la mesure où les sociétés de recouvrement gèrent des données personnelles, du fait de leur rôle d’intermédiaire entre des créanciers et des débiteurs, elles sont concernées par le GRPD, dès lors qu’elles exercent leurs activités dans l’espace européen.

Par conséquent, les sociétés de recouvrement concernées doivent se mettre en conformité avec le RGPD et être en mesure de démontrer à l’autorité de contrôle, le cas échéant, la prise en compte de la protection des données personnelles. Pour ce faire, les entreprises doivent respecter trois obligations.

Minimité des données personnelles

Le RGPD restreint la collecte des données personnelles au minimum nécessaire à l’exercice de l’activité de l’entreprise. La restriction porte également sur la durée de conservation des données. Le RGPD oblige ainsi à envisager des délais d’utilisation des données collectées, et donc de prévoir leur suppression après l’atteinte des objectifs fixés en amont.

Le contrôle de ces nouvelles mesures passe par la tenue de registres de traitement précis que le RGPD impose, et qui sont consultables par la CNIL en France.

Le RGPD ordonne également aux entreprises la nomination d’un DPO (Data Protection Officer ou Délégué à la protection des données) suivant la quantité ou la sensibilité des données collectées.

Consentement des citoyens concernés

Le RGPD rend obligatoire l’obtention du consentement des individus qui sont concernés par la collecte de données personnelles. Ce consentement doit être libre (ni contraint, ni influencé), spécifique (dédié à une finalité ), éclairé (par la délivrance d’informations) et univoque (dépourvu d’ambigüité dans la formulation des termes du consentement).

Un consentement obtenu avant l’entrée en vigueur du RGPD (25 mai 2018) reste valide, dès lors qu’il respecte les mêmes obligations. Dans le cas contraire, il faut mettre à jour ou compléter le consentement recueilli pour le mettre en conformité avec le RGPD.

Sécurisation des données collectées

Selon le texte du RGPD, il s’agit de mettre « en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque » numérique. Pour aider les entreprises qui ne sont pas coutumières des problématiques de sécurité informatique, la CNIL a publié un guide qui rappelle les précautions élémentaires à employer systématiquement.

On peut citer comme mesures à mettre en place ou à renforcer, l’instauration de contrôles d’accès, de sauvegardes, de traçabilités, de chiffrement et d’anonymisation des données, ou encore de sécurité des locaux.

Related Posts

20

Mai
Actualités, Pratique, Tous les sujets

Communiquer les informations de sa carte bancaire à distance

Communiquer ses informations bancaires par téléphone est un moyen commode de procéder rapidement à un règlement. Les informations nécessaires dans ce cas de figure sont le numéro de la carte bancaire, sa date d’expiration et le cryptogramme à trois chiffres indiqué au verso. En cas de fraude avérée, la loi protège le détenteur de la carte bancaire. […]

20

Mai
Actualités, Pratique, Tous les sujets

RGPD et sous-traitance du recouvrement

Le RGPD considère comme licite l’utilisation de données à caractère personnel, lorsque le traitement est nécessaire à l’exécution d’un contrat ou aux fins d’intérêts légitimes. Ces deux cas de figure concernent précisément le recouvrement de créance. Le RGPD prévoit les cas de sous-traitance de traitement de données par un donneur d’ordre et délimite les responsabilités de chacun.[…]