RGPD :

7 règles à respecter pour les clubs

Le Règlement Général sur la Protection des Données n°2016/679 du 27 avril 2016, ou RGPD, entrera en application le 25 mai 2018 en France. Ce texte va constituer la nouvelle référence européenne en matière de protection des données à caractère personnel. Terminé, la bonne vieille déclaration simplifiée à la CNIL et une application assez souple des directives, c’est maintenant un règlement structurant qui va s’appliquer et toutes les sociétés sont concernées, de la TPE à la multinationale.

L’objectif du RGPD, tout en gardant les principes fondateurs posés dès 1995, est de toujours mieux protéger les données personnelles, en obligeant toutes les sociétés à connaître leurs obligations, tout en mettant en place de vraies sanctions dissuasives pour que le règlement soit respecté par tous.

 

Quels sont les nouveautés concernant la gestion des bases de données ?

  • Les déclarations à la CNIL, normales ou simplifiées sont supprimées et remplacées par une disposition beaucoup plus contraignante : toutes les sociétés doivent être en conformité, notamment via une démarche pro-active et effective.
  • La sécurité des données est également renforcée et les solutions à mettre en place peuvent être contraignantes.
  • Les personnes (clients) doivent être toujours plus informées et il devient obligatoire de recueillir et de retracer leur consentement au traitement des données personnelles.
  • Les sanctions encourues en cas de non respect de la RGPD sont véritablement dissuasives : 20 millions d’euros pour les TPE et PME ou 4% du chiffre d’affaires mondial pour les structures plus grosses.

 

Tous les clubs de fitness sont-ils concernés par la RGPD et quelles sont leurs responsabilités ?

Le principe s’appliquant à la responsabilité des bases de données ne change pas, dans notre cas, c’est toujours le propriétaire du club de fitness qui est responsable au sens de la loi. La RGPD s’applique à toutes les entreprises, à partir du moment où des bases de données comportant des informations personnelles sont utilisées. A titre d’exemple, un simple fichier Excel sur lequel figure une liste de personnes avec leurs données personnelles est considéré comme une base de données et caractérise en lui-même un traitement, puisque des informations ont été collectées et classifiées. Par ailleurs, la réglementation s’impose pour la gestion des bases de données de clients et prospects aussi bien en BtoB qu’en BtoC, mais également à toutes les bases utilisées par la société (base RH de son personnel, base de ses fournisseurs,…). Tous les clubs sont donc concernés et vont devoir se mettre en conformité à la RGPD avant le 25 mai 2018.

 

rgpd-resamania

 

D’un point de vue opérationnel, voici un plan pour avancer concrètement :

 

1- S’assurer du fondement juridique

C’était déjà le cas avec la loi « informatique et liberté », ce point ne doit donc pas avoir un gros impact, mais il faut s’assurer que pour toutes les bases à disposition des clubs, les personnes ont bien donné leur consentement. Cet aspect « consentement » est un axe majeur du règlement, qui indique qu’une personne doit matériellement consentir par une déclaration ou un acte positif clair. Il faut donc pour la vente d’abonnements et de carnets de séance, on-line et off-line, avoir des conditions générales de vente (CGV) indiquant le but de la collecte des données et des traitements qui pourront être faits ensuite, et les faire valider par les clients. Si le club dispose de contrôle d’accès, de vidéo-surveillance, d’un système de caisse, de matériel d’impédancemétrie, de machines connectées, chaque base devra être listée et expliquée dans les CGV pour ne pas laisser de traitement possible de données non consenties. Si le club met en place une newsletter, il doit avoir la preuve du consentement des personnes à qui elle sera envoyée. Pour faire simple sur ce point, il faut garder en tête : « Utilisation d’une base de données avec des données personnelles = Consentement à recueillir »

 

2- Collecter le moins possible de données personnelles

Le règlement devient plus explicite. Là où le texte disait que les données collectées ne devaient pas être excessives, maintenant il indique que les « données collectées doivent être adéquates, pertinentes et limitées à ce qui est nécessaire » eu égard aux finalités du traitement. Par exemple pour une newsletter, jusqu’à présent, il était commun de recueillir au minimum, nom, prénom et e-mail. Avec la nouvelle règle, seul l’e-mail sera vraiment nécessaire. Si le club possède un logiciel de gestion de club, il pourra évidement enregistrer toutes les données nécessaires au bon fonctionnement du club, nom, prénom, adresse pour la facturation, e-mail pour la connexion à son espace en ligne, N° de téléphone pour être contacté en cas d’annulation… Par contre, certaines données comme l’adresse professionnelle du client ou son entreprise, devront être prévues et argumentées, par exemple pour pouvoir commercialiser des abonnements dans les sociétés et mettre en place des contremarques. En revanche, s’il n’y a pas de contremarque, la collecte de ces données, même si le champ existe dans l’outil de l’éditeur, sera considérée comme abusive.

 

3- Eviter de traiter des données sensibles

Le 25 juin prochain, 3 nouveaux types de données seront considérés comme sensibles : les orientations sexuelles, les données génétiques et surtout pour certains clubs de fitness, les données biométriques ! La gestion des données sensibles nécessite de mettre en place des précautions contraignantes comme la procédure d’impact de la protection des données (PIA Privacy Impact Assessment) et doit recueillir le consentement explicite de toutes les personnes concernées.

 

4- mise en place d’un délégué à la protection des données (dpo data privacy officer)

Le fait de disposer d’une personne dans la structure, dont l’une des missions est de s’assurer de la mise aux normes de la RGPD constitue une preuve d’une bonne mise en place du règlement. Le rôle de ce délégué est d’accompagner les responsables de traitement et les salariés des clubs pour les sensibiliser à leurs obligations. Toutefois, pour les TPE, donc pour beaucoup de clubs, la nomination d’un délégué n’est pas obligatoire, par contre pour les groupes possédant plusieurs clubs, il est très fortement conseillé d’en désigner un.

 

5- Mise en place d’un registre de confirmité

L’article 30.5 du règlement oblige uniquement les sociétés de plus de 250 salariés à posséder un registre permettant de tracer l’ensemble des traitements de données, pour s’assurer de la conformité de chaque traitement. Mais comme les textes sont parfois contradictoires, les articles 5 et 24 imposent sa mise en place pour tous ! Il vaut donc mieux s’y conformer, d’autant que ce n’est pas très compliqué, un simple fichier excel suffit et la CNIL en propose un modèle.

 

6- S’assurer de la sécurité des données et de l’existence d’une procédure en cas de fuite

Le responsable des traitements dans les clubs et leurs sous-traitants doivent mettre en place des moyens adaptés face aux risques. Du point de vue du sous-traitant, une obligation lui impose de ne pas permettre à des tiers non autorisés à accéder aux données. Par exemple, sa responsabilité est engagée si des données personnelles sont accessibles à des tiers via des failles de sécurité simples (ex : via un simple URL sans login de connexion). Le responsable du traitement dans le club, lui, doit s’assurer que ses salariés ayant accès aux données, ont une raison d’y accéder. Si un manager donne des accès élargis à tous les salariés, il se rend coupable d’un manquement. De la même manière, s’il possède sa base de données sur un ordinateur ou un disque dur placé dans une pièce qui n’est pas sécurisée au minimum avec une porte fermée à clef, il ne respecte pas la loi. Si par malheur, un club se fait voler une base de données, ou si un salarié malveillant, avec un poste qui ne devrait pas lui permettre d’accéder à la base, arrive à en faire une copie, le règlement impose maintenant de faire une déclaration de violation à la CNIL et d’avertir les clients que leurs données ont été volées/copiées. Pour montrer sa bonne volonté et être conforme aux exigeances du réglement, le club peut tenir un registre des violations constatées pour le mettre à disposition en cas de contrôle.

 

7- La portabilité des données

Un client peut maintenant demander à son club, de transférer ses données à un club concurrent. Le club doit lui fournir un fichier exploitable et structuré. Pour simplifier cette procédure, il est conseillé quand les clients ont accès à un espace personnel, de mettre dans cette espace un lien de chargement pour qu’ils soient autonomes.

 

En Conclusion :

Se conformer parfaitement à la loi sera certainement compliqué pour un club, par contre mettre en place les bons outils permettant de prouver sa bonne foi est assez simple. Sachant qu’une partie des obligations du responsable des traitements peut être déléguée à son sous-traitant du moment que celui-ci est bien au fait des règles de la RGPD et de la mise en place des moyens adéquats, prouver que l’on a fait les efforts nécessaires pour se mettre en conformité, devient accessible à tous.