- Le RGPD s’applique à toute entreprise qui a une activité de collecte, de traitement et d’utilisation de données personnelles relatives à des citoyens européens.
- Les sociétés de recouvrement sont concernées par le RGPD.
- Le RGPD impose trois obligations aux entreprises pour être en conformité : la minimité des données personnelles, l’obtention du consentement des citoyens concernés et la sécurisation des données collectées.
Le RGPD s’applique à toute entreprise (donneurs d’ordre, sous-traitants, prestataires techniques) ayant une activité de collecte, de traitement et d’utilisation de données personnelles relatives à des citoyens européens. Dans la mesure où les sociétés de recouvrement gèrent des données personnelles, du fait de leur rôle d’intermédiaire entre des créanciers et des débiteurs, elles sont concernées par le GRPD, dès lors qu’elles exercent leurs activités dans l’espace européen.
Par conséquent, les sociétés de recouvrement concernées doivent se mettre en conformité avec le RGPD et être en mesure de démontrer à l’autorité de contrôle, le cas échéant, la prise en compte de la protection des données personnelles. Pour ce faire, les entreprises doivent respecter trois obligations.
Minimité des données personnelles
Le RGPD restreint la collecte des données personnelles au minimum nécessaire à l’exercice de l’activité de l’entreprise. La restriction porte également sur la durée de conservation des données. Le RGPD oblige ainsi à envisager des délais d’utilisation des données collectées, et donc de prévoir leur suppression après l’atteinte des objectifs fixés en amont.
Le contrôle de ces nouvelles mesures passe par la tenue de registres de traitement précis que le RGPD impose, et qui sont consultables par la CNIL en France.
Le RGPD ordonne également aux entreprises la nomination d’un DPO (Data Protection Officer ou Délégué à la protection des données) suivant la quantité ou la sensibilité des données collectées.
Consentement des citoyens concernés
Le RGPD rend obligatoire l’obtention du consentement des individus qui sont concernés par la collecte de données personnelles. Ce consentement doit être libre (ni contraint, ni influencé), spécifique (dédié à une finalité ), éclairé (par la délivrance d’informations) et univoque (dépourvu d’ambigüité dans la formulation des termes du consentement).
Un consentement obtenu avant l’entrée en vigueur du RGPD (25 mai 2018) reste valide, dès lors qu’il respecte les mêmes obligations. Dans le cas contraire, il faut mettre à jour ou compléter le consentement recueilli pour le mettre en conformité avec le RGPD.
Sécurisation des données collectées
Selon le texte du RGPD, il s’agit de mettre « en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque » numérique. Pour aider les entreprises qui ne sont pas coutumières des problématiques de sécurité informatique, la CNIL a publié un guide qui rappelle les précautions élémentaires à employer systématiquement.
On peut citer comme mesures à mettre en place ou à renforcer, l’instauration de contrôles d’accès, de sauvegardes, de traçabilités, de chiffrement et d’anonymisation des données, ou encore de sécurité des locaux.
