Téléchargez la documentation technique !
Recevez gratuitement dans votre boîte mail la documentation technique de Gestactiv’2 et découvrez son fonctionnement dans le détail.
RGPD : êtes-vous sûrs d’être en règle ?
Depuis son application, il y a près de deux ans et demi, le RGPD (ou Règlement Général sur la Protection des Données) a bousculé l’organisation de nombreuses entreprises françaises. Vous-même, vous avez sûrement dû mettre en place de nouveaux procédés dans votre structure pour vous conformer à ce règlement. Mais êtes-vous sûr d’être bien en règle ? C’est ce que cet article va vous permettre de vérifier.
Sommaire
RGPD, un rappel basique
Tout d’abord, rappelons que le RGPD est entré en vigueur au sein de l’Union européenne, pour encadrer la gestion et le traitement des données personnelles par les organismes publics et privés. Autrement dit, pour contrôler que :
- les données personnelles recueillies par ces organismes sont bien nécessaires à leur activité
- l’accès à ces données est sécurisé
- et surtout que les personnes concernées par le traitement de leurs données peuvent y accéder ou les faire supprimer, rectifier sur demande.
Quelques années plus tard, on observe que la plupart des entreprises françaises ont joué le jeu.
Cependant il ressort que les TPE et PME ont un peu plus de difficultés à appliquer cette mise en conformité. Ce qui s’explique en partie par le manque de moyens humains et financiers de ces structures.
Heureusement, durant la première année la CNIL était relativement tolérante au sujet de l’application du RGPD. Mais depuis 2019 elle n’hésite plus à sévir. L’exemple récent d’une filiale d’Orange épinglée pour avoir conservé illégalement certaines données de ses clients nous le prouve.
D’ailleurs, sachez que l’amende peut être salée : jusqu’à 4% du chiffre d’affaire global de l’entreprise ou 20 millions d’euros. Et bien évidement, c’est le montant le plus important qui est retenu.
C’est pourquoi, il est indispensable d’avoir adopté ou d’adopter au plus vite certains réflexes pour se conformer au RGPD.
Les bons réflexes pour être en règle
Cartographier ses données
C’est à dire identifier tous les moyens par lesquels vous récoltez ou manipulez des données à caractère personnel. Que ce soit via votre site internet, un formulaire de contact, votre newsletter, un CRM… Ou encore pour la gestion de vos clients, du recrutement ou des salaires… Soyez exhaustifs dans votre listing ! Il faut également y inscrire pendant combien de temps sont conservées ces données et qui y a accès.
Une fois que vous avez une vue d’ensemble vous devez vous assurer que :
- les données collectées le sont dans un but précis et leur utilisation s’effectue en conformité avec cet objectif
- vous collectez uniquement les données nécessaires à votre activité (on ne recueille pas de données “au cas où”)
- seules la ou les personnes habilitées ont accès aux données dont elles ont besoin
- vous ne conservez pas ces données au-delà d’une durée nécessaire
Vous avez ainsi créé votre registre des données qui sera placé sous la responsabilité d’un DPD (Délégué à la Protection des Données). Il faudra par la suite notifier chaque nouvelle activité qui implique une collecte de données pour le tenir à jour.
Ainsi, si les autorités de contrôle de la CNIL vous le demandent vous serez capables de présenter les mesures que vous avez prises pour être en conformité avec le RGPD.
Améliorer ses pratiques
La création de ce registre vous permet en plus de voir facilement quelles stratégies mettre en place pour appliquer au mieux le RGPD.
Par exemple, si vous vous apercevez que certaines informations dans vos bases de données ne sont pas utilisées : supprimez les ! Et de manière générale supprimez de vos outils de communication toutes demandes d’informations personnelles qui ne seront pas réutilisées par la suite. Vous pouvez aussi mettre en place un système de suppression automatique des données au bout d’une certaine durée.
En résumé, passez en revue toutes vos pratiques de collecte et traitement de données pour corriger ce qui doit l’être.
Sécuriser ses données
Vous l’aurez compris, si vous minimisez la collecte d’informations dîtes sensibles, vous minimisez le risque qu’elles soient volées ou piratées.
Cependant en informatique, le risque zéro n’existe pas. En témoigne la recrudescence des cyberattaques visant les TPE et PME. Vous devez donc assurer la sécurité des données personnelles contenues dans vos bases de données.
Et pour se faire, on ne lésine pas sur les moyens :
- utilisation de mots de passe complexes et régulièrement modifiés
- mises à jour régulières de vos antivirus, logiciels, systèmes d’exploitation et navigateurs
- contrôle restrictif des accès aux outils de travail et bases de données
- sécurisation du réseau d’entreprise, des serveurs et des postes de travail
- mise en place d’une procédure de sauvegarde et récupération de données en cas d’incident
- comportement responsable sur le web : vis à vis des téléchargements, de l’utilisation de votre messagerie, etc…
Être transparent
Enfin, vous vous devez d’être transparents avec les personnes dont vous collectez et traitez les données personnelles.
Concrètement cela signifie que vous devez les informer sur :
- la finalité de cette collecte et ce quel que soit le moyen utilisé (formulaire de contact, sondage…)
- la durée de conservation des données
- la ou les personnes qui ont le droit d’accéder à ces éléments
- le transfert de ces données hors de l’Union Européenne (via par exemple l’un de vos prestataires), si c’est le cas
- les modalités selon lesquelles ces personnes peuvent exercer leurs droits sur leurs données
Vous pouvez tout à fait indiquer ces informations dans les mentions légales et la politique de confidentialité de votre site web.
Vous devez également obtenir le consentement explicite et clair de ces personnes pour collecter et utiliser leurs données. Surtout si vous avez en tête un objectif de prospection par email par la suite.
Sachez aussi, que ces personnes ont le droit de s’opposer au traitement de leurs données et qu’il est obligatoire de leur en donner la possibilité et de respecter leur choix.
Enfin, vous êtes tenus de répondre dans un délai d’un mois aux demandes d’accès, de rectification, mise à jour, suppression, envoi d’une copie des données, faîtes par leurs propriétaires. Vous devez aussi être capable de justifier l’origine de ces données et comment vous les avez obtenues.
En respectant ce principe de transparence vous vous mettez ainsi à l’abri de potentielles réclamations auprès de la CNIL.
La conformité au RGPD, en résumé
Globalement, il faut retenir que si :
- vous avez créé un registre de traitement des données et avez nommé un DPD
- vous vous limitez à la collecte de données utiles à votre activité
- leur accès est restreint grâce à des systèmes de protection technique et des comportements responsables (comme limiter leur circulation, même en interne)
- vous vous montrez transparent sur vos moyens de collecte et leur utilisation
- à la demande des personnes dont vous traitez les données, vous leur permettez d’exercer leurs droits.
Alors, vous êtes en règle avec le RGPD.
Nous espérons que cet article vous aura éclairé sur les bonnes pratiques à mettre en place dans votre structure (si ce n’est pas déjà le cas). Et qu’il vous aura permis de faire le point sur votre situation vis à vis du RGPD !
