Nouvelle Aquitaine
je prends RDV Connexion
retour à toutes les actualités
2019-12-04 03:20:24

RGPD et données personnelles : quelques conseils pour être efficace et irréprochable

Depuis l’entrée en vigueur du RGPD, le chef d’entreprise est tenu a de nouvelles obligations en matière de gestion et de conservation des données personnelles.

Le 25 mai 2018, le Règlement général sur la protection des données (RGPD) est entré en application. Ce nouveau règlement européen s’applique à toute entité qui collecte, traite et stocke des données personnelles dont l’utilisation peut directement ou indirectement identifier une personne.

Le RGPD s’articule autour d’un double objectif : renforcer les droits des consommateurs et responsabiliser les acteurs traitant des données personnelles.

EN PRATIQUE, COMMENT S’Y PRENDRE ?

/ Recensez bien vos données personnelles

La première étape consiste à identifier les activités de votre entreprise qui nécessitent la collecte et le traitement de données (recrutement, gestion de la paie, formation, relation client…).

Après cela, vous pouvez formaliser ces informations dans un document écrit : le registre de traitement des données.

Le but est de recenser vos traitements de données et de disposer d’une vue d’ensemble de votre utilisation des différentes données personnelles que vous possédez.

ZOOM SUR LE REGISTRE

C’est un fichier électronique – de préférence – ou même éventuellement sous forme « papier » -dans lequel les entreprises doivent faire figurer tous leurs traitements de données personnelles

Ce fichier doit, en permanence, être tenu à la disposition de la CNIL (Commission nationale de l’informatique et des libertés).

En effet, chaque acteur doit, à tout moment, être en mesure de démontrer la conformité de ses activités de traitement à la réglementation applicable.

Pour les entreprises artisanales le registre n’est pas obligatoire.

Les entreprises de moins de 250 salariés bénéficient d’une dérogation en ce qui concerne la tenue de registres. Les entreprises de moins de 250 personnes n’y sont tenues que si leurs traitements portent sur des données sensibles (condamnations, infractions, etc.).

MAIS

La tenue d’un registre est, en pratique, indispensable pour toute entreprise car

elle lui permet de prouver à tout moment sa conformité au RGPD. Ceci remplace l’ancienne déclaration obligatoire à la CNIL.

// Faites le tri dans vos données

Le volume de données accumulé peut très vite être important d’autant plus que généralement les entreprises accumulaient les données sans se poser de questions.

Dans votre politique en matière de gestion des données, vous devez vérifier que :

  • les données traitées sont bien nécessaires à vos activités ;
  • aucune donnée dite « sensible » n’est présente dans vos registres ou, si c’est le cas, que vous avez bien le droit de les traiter ;
  • seules les personnes habilitées ont accès aux données dont elles ont besoin ;
  • activer des règles automatiques d’effacement ou d’archivage au bout d’une certaine durée dans vos applications…et au-delà de ce qui est nécessaire.

Pour toutes les données inutiles, il convient de les supprimer. Par exemple, conserver un code d’accès à un immeuble n’est pas pertinent au-delà des travaux effectués. De plus, ce code associé à une identité et une adresse postale peut-être dangereux en cas de perte ou de vol.

Il est à noter que la réglementation ne distingue pas les données détenues en papier ou en numérique.

// Informez les personnes

Le RGPD repose sur le principe de transparence.

Si vous collectez des données personnelles, le support utilisé (formulaire, questionnaire, etc.) doit comporter des mentions d’information :

  • l’objectif (ex :relation client : envoyer des mailings ou des newsletters aux prospects et clients pour promouvoir votre offre et des opérations commerciales) ;
  • la « base juridique »selon laquelle vous conservez la donnée (ex : consentement de la personne concernée, de l’exécution d’un contrat, du respect d’une obligation légale qui s’impose à vous, de votre « intérêt légitime ») ;
  • les personnes ayant accès aux données (indiquez des catégories : les services internes compétents,un prestataire, etc.) ;
  • la durée de conservation(exemple : cinq ans après la fin de la relation contractuelle) ;
  • les modalités selon lesquelles les personnes concernées peuvent exercer leurs droits (sur votre site Internet, par un message à une adresse e-mail spécifique, par un courrier postal à un service identifié…) ;
  • Il faut donner au consommateur un niveau d’information et de compréhension suffisant sur la manière dont sont gérées ces données personnelles.

// Permettez aux personnes d’exercer facilement leurs droits

Les clients, prospects, collaborateurs, etc ont des droits sur leurs données :droit d’accès, de rectification, d’opposition, d’effacement, droit à la portabilité et à la limitation du traitement.

Il convient qu’elles puissent exercer facilement leurs droits. Par exemple, si vous disposez d’un site web, prévoyez un formulaire de contact, un numéro de téléphone ou une adresse de messagerie. Dans les conditions générales ou formulaire, ou via une politique de confidentialité sur son site internet le responsable de traitement doit également indiquer les informations visées à l’article 13 du RGPD.

Vous devez mettre en place un process interne garantissant l’identification et le traitement des demandes dans un délai raisonnable (un mois au maximum). Pour une entreprise artisanale, le plus simple est de définir une personne ou deux en charge de cette question. Dans un souci de confidentialité et d’efficience, il est recommandé d’assurer vous-même ce rôle (ou éventuellement votre conjoint).

// Sécurisez vos données

Dans votre politique de gestion des données personnelles, vous devez prendre en compte l’enjeu sécurité.

Aujourd’hui, la data constitue une source de richesse importante pour votre société et fait partie intégrante du patrimoine de l’entreprise. En conséquence, vous vous devez de la protéger à la fois pour garantir la confidentialité des informations de vos clients et prospects mais aussi pour préserver le patrimoine de l’entreprise.

En premier lieu, il faut limiter le nombre de collaborateurs qui ont accès aux données personnelles. Pour une entreprise de 10 salariés, une ou deux personnes suffisent. Limiter l’accès aux données, c’est réduire les risques de perte ou de vol.

Ensuite,il y a des mesures simples à prendre : mise à jour de vos antivirus et logiciels, utilisation de mots de passe complexes et changement régulier,chiffrement de vos données dans certaines situations, sécuriser les locaux abritant les données personnelles, etc.

Ainsi,il faut sécuriser les fichiers informatiques ou documents papier contenant des données personnelles par exemple en sécurisant l’accès avec un mot de passe ou dans une armoire fermée à clef.

En cas de perte ou de vol,une déclaration doit être faite à la CNIL dans les 72 heures.

Zoom sur la donnée personnelle ?

Est une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement,par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres.

Exemples: nom, téléphone, date de naissance, adresse, empreinte digitale, numéro d’identification, identifiant en ligne, etc.

Pour que ces données ne soient plus considérées comme personnelles, elles doivent être rendues anonymes de manière à rendre impossible toute identification de la personne concernée : noms masqués, visages floutés, etc.

Zoom sur le traitement de données personnelles ?

Il s’agit de toute opération ou ensemble d’opérations impliquant l’utilisation de données personnelles et qui y sont appliquées :

Exemples d’opérations sur des données : la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification,l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction des données à caractère personnel.
Donc, toutes les opérations possibles sur des données personnelles sont concernées par le RGPD.

Exemples de traitement:

  • gestion du personnel,administration des salaires ;
  • accès à/ou consultation d’une base de données de contacts
  • contenant des données à caractère personnel
  • envoi d’e-mails promotionnels
  • destruction de documents contenant des données à caractère personnel
  • publication/affichage d’une photo d’une personne sur un site internet
  • conservation d’adresses IP ou d’adresses MAC
  • enregistrement de vidéo surveillance

RGDP : un guide pratique pour les petites et moyennes entreprises

La CNIL a publié un guide pratique de sensibilisation au RGPD pour les petites et moyennes entreprises.
Dans cet ouvrage, l’Autorité formule quatre recommandations principales à mener pour être en conformité avec les règles de protection des données.

En savoir plus :
https://www.cnil.fr/sites/default/files/atoms/files/bpi-cnil-rgpd_guide-tpe-pme.pdf

Plan du site

Informations

Presse

Annonceur

Réseaux sociaux

CAPEB Copyright 2016