Se conformer au RGPD : comment s’y prendre ?

Votre entreprise traite et collecte des données personnelles de vos clients, fournisseurs. Vous devez donc impérativement vous conformer au Règlement Général sur la Protection des Données (RGPD) instauré en 2018 et traiter ces données dans le respect de la loi. Aujourd’hui encore, certaines entreprises, notamment les TPE, PME ou les Start-up, peinent à gérer ces données sans stress.

Savez-vous déterminer ce que sont des données personnelles ? Les données personnelles peuvent correspondre à un nom, un prénom, un identifiant, un numéro de téléphone, une adresse, ou un email. En somme, tout ce qui permet d’identifier une personne.

En fonction de la taille de votre entreprise, du volume et du type de données, vous allez mettre en place des mesures pour protéger les personnes, mais aussi l’image et la réputation de votre entreprise. Respecter les droits et la vie privée des personnes concernées par ces données font partie de vos devoirs. Être dans les règles vous permettra d’être plus productif et de créer un sentiment de confiance auprès de vos collaborateurs ou de vos clients. Quitte à déléguer cette tâche à un DPO : le délégué à la protection des données.

Pour vous aider à y voir plus clair, la CNIL a mis au point une check-list spécialement conçue pour les petites et moyennes entreprises. Le but ? Accompagner ces entreprises à travers un mini-audit pour leur faciliter ces démarches et les aider à faire le point sur leur situation.

1. Commencez par identifier les différents types de fichiers de votre entreprise. Fichiers clients, factures, paie et recrutement : vous pouvez d’ores et déjà identifier les types de fichiers contenus dans vos différents services.
2. Faites le tri et catégorisez vos fichiers.
   1. Notez l’objectif et la finalité de chaque fichier
   2. Faites la liste des informations que vous enregistrez pour chaque type de fichier et faites le tri ! Déterminez quelles sont les données indispensables, celles qui peuvent être supprimées et évitées d’être collectées par la suite.
   3. Déterminez qui a réellement besoin de ces informations : collaborateurs, prestataires, clients…
   4. En fonction du type d’information, identifiez pour chaque fichier combien de temps vous devrez les conserver.
   5. Pensez à créer un registre des activités de traitement, il peut vous être demandé par la CNIL en cas de contrôle. Vos fichiers contiennent des données personnelles ? Vous devrez créer ce registre qui recense toutes ces informations personnelles. Ce registre doit comprendre 1 fiche par traitement de données (1 fiche pour les données utilisées pour la paie, 1 fiche pour la gestion client, 1 fiche pour la gestion de vos employés, etc.)

3. Respectez l’information & le droit des personnes

Les utilisateurs doivent pouvoir exercer leurs droits facilement. Soyez transparent et compréhensible pour informer les personnes concernées :

1. Prévenez vos clients et vos collaborateurs sur la collecte des données les concernant.
2. Indiquez toujours pour quelles raisons et quelle finalité vous collectez ces données : demande de contact, inscription à une newsletter ou un événement, but commercial, etc.
3. Indiquez qui peut accéder à ces données : quels services, quels partenaires…
4. Notifiez combien de temps seront stockées ces données.
5. Informez les personnes dès que vous modifiez vos processus de collecte de leurs données.      

Les utilisateurs doivent voir ces mentions en bas de vos formulaires et donner leur consentement. Ils doivent être informés de façon claire sur l’utilisation et l’accès à la rectification ou à la modification de leurs informations. Si un client ou toute autre personne se manifeste pour modifier ou supprimer ses données, n’oubliez pas de répondre à leur demande dans un délai d’un mois !

4. Sécurisez vos données !

En fonction du niveau de sensibilité des informations collectées et des risques encourus, vous pourrez adapter le traitement de vos données au cas par cas. Les mesures à prendre sont à la fois physiques (stockage des données dans un coffre-fort détenu par une seule personne) et informatiques (chiffrage des données personnelles).

Prenez soin de votre SI en appliquant les bonnes pratiques informatiques de base comme la mise en place et la mise à jour d’antivirus fiables, la gestion de vos mots de passe, les sauvegardes régulières de vos données, le chiffrage de certaines données si nécessaire, etc.

Sensibilisez vos collaborateurs aux enjeux liés à la protection des données et familiarisez-les à l’écosystème RGPD au moyen d’ateliers ou de formations.

Vous l’aurez compris, la mise en conformité RGPD est obligatoire si votre entreprise collecte des données. Le respect de ces principes est indispensable à la fois pour protéger les utilisateurs, mais aussi pour vous éviter des amendes et préserver la réputation de votre entreprise.

Retrouvez la check-list de l’ANSSI ici.

Attention ! Cette check-list ne se substitue pas à un traitement approfondi de vos données !  A l’issue de cet auto test, vous devrez tout de même vous assurer de respecter le Règlement Général sur la Protection des Données (RGPD) et la Loi Informatique et Libertés.

Et retrouvez la liste de l’ANSSI et de la CPME sur les 12 règles indispensables pour sécuriser votre IT (Guide des bonnes pratiques informatique).

Vous pouvez aussi nous contacter pour plus d’information à ce sujet.

Image par Biljana Jovanovic de Pixabay