Le RGPD - boîte à outils CAPEB 49

Le RGPD, ou règlement général sur la protection des données, est sur toutes les lèvres, et dans toutes les boîtes mail. Vous avez sans doute reçu des mails de différentes entreprises qui vous informaient que désormais vous deviez gérer l’utilisation de vos données personnelles. Le RGPD a été créée pour ça : protéger les citoyens européens afin que leurs données personnelles ne soient pas exploitées sans qu’ils le sachent. Voici un mode d’emploi pour que vous puissiez répondre à cette nouvelle obligation !

Quelles sont les données concernées ?

Une donnée personnelle est « tout ce qui peut permettre d’identifier une personne de manière directe ou indirecte ».
Exemples : nom, prénom, n° de téléphone, adresse, n° de sécurité sociale, matricule, adresse mail personnelle - et professionnelle si le nom et prénom de la personne sont présents dans l’adresse…

Pourquoi êtes-vous concerné ?

Parce que vous « traitez des données ». C’est-à-dire que vous récoltez et/ou stockez et/ou utilisez des données personnelles appartenant à vos salariés, vos clients et vos partenaires.
Prenons l’exemple de l’entreprise Roulaud peinture qui a 4 salariés. Cette entreprise possède des informations personnelles sur ses clients et ses salariés. Elle les stocke pour partie sur informatique et pour partie en version papier.

Que devez-vous faire ?

Vous devez remplir des documents expliquant votre politique d’utilisation des données.
Pour que cela soit le plus simple possible, nous vous avons préparé le mode d’emploi suivant et avons adapté les modèles de la CNIL.
1/ Listez tout ce qui donne lieu à la récolte de données personnelles et complétez le document « Registre des activités de traitement » téléchargeable et modifiable.
Ex : Roulaud peinture récolte des données pour :

  • gérer ses salariés : la paie, les congés…
  • organiser la relation avec ses clients et prospects : nom et adresse des clients pour établir des devis ou envoyer des offres promotionnelles, heures de présence des clients pour organiser le chantier…
  • consigner les échanges avec ses fournisseurs : nom et coordonnées du commercial…

2/ Pour chaque activité listée dans le registre ci-dessus, complétez une « fiche par activité» téléchargeable et modifiable.

Parce que le registre du personnel, obligatoire pour tous les employeurs, répertorie les mêmes types de données quelle que soit l’entreprise, nous vous avons préparé une fiche spéciale.
Vous n’avez qu’à personnaliser cette fiche avec le nom de votre entreprise : téléchargez la fiche qui correspond au registre du personnel.
3/ Informez les personnes concernées que vous récoltez et utilisez leurs données.
Ex : ajoutez la mention ci-dessous dans les CGV que vous distribuez avec vos devis pour informer vos clients :
Les informations recueillies vous concernant sont nécessaires pour le traitement de votre demande. Elles seront utilisées, exploitées et traitées à cette fin et dans le cadre de la relation commerciale qui peut en découler. Conformément à la loi « informatique et libertés » du 6 janvier 1978 modifiée et du Règlement Européen de Protection des Données UE 2016/679, vous bénéficiez d’un droit d’accès, de rectification, de portabilité, d’effacement de celles-ci ou une limitation du traitement pour les informations qui vous concernent. Vous pouvez vous opposer au traitement des données vous concernant personnellement et disposez du droit de retirer votre consentement à tout moment en vous adressant à (prévoir une adresse mail).

Ex : lorsque l’entreprise Roulaud peinture embauchera un nouveau salarié, elle pourra par exemple lui faire signer un document mentionnant le type de données personnelles qu’elle a récupérées auprès de lui.

4/ Améliorez la sécurité de vos données en :

  • sécurisant vos postes de travail informatiques,sécurisant vos locaux,
  • mettant à jour régulièrement vos antivirus,
  • changeant régulièrement vos mots de passe,
  • minimisant le nombre de personnes ayant accès à ces données.

Conseils et points de vigilance

  • Penser à répertorier aussi vos dossiers papier. Si vous conservez des données sur des documents papier, vous devez l’indiquer sur les fiches de registre activité.
  • Pour simplifier vos démarches, ne collectez que les informations essentielles et nécessaires à votre activité.
  • Diminuez le nombre de fichiers au minimum. Moins vous aurez de fichiers, moins vous aurez de documents à répertorier et à sécuriser. Un fichier principal peut vous permettre de réunir toutes les données personnelles de vos salariés par exemple plutôt que d’en faire un pour la paie, un pour la complémentaire santé…
  • Renseignez-vous auprès de votre assureur pour savoir ce que contient votre contrat sur les risques liés à la protection des données.
  • Par principe, gardez ces données le moins longtemps possible. Nous vous conseillons par exemple de détruire les données liées à vos clients à la fin de la période décennale. Pour un salarié, nous vous conseillons de détruire les données le concernant 3 ans après la fin de son contrat.
  • Pensez à mettre à jour ce registre et les fiches d’activité quand vous créez de nouveaux fichiers avec des données que vous ne possédiez pas auparavant.

En complément, vous pouvez télécharger le guide de la CNIL.