Toutes les entreprises Ă©tablies sur le territoire de l'Union europĂ©enne et qui stockent des donnĂ©es personnelles sont donc concernĂ©es par le RGPD. Nous allons voir, en quatre Ă©tapes, comment s'y conformer et par oĂč commencer.
1. Constituez un registre de vos traitements de données
Ce document va vous permettre de recenser tous vos fichiers et d'avoir une vision d'ensemble. Ce registre sera placé sous la responsabilité du dirigeant de l'entreprise.
Tout d'abord, il faut identifier les activitĂ©s principales de votre entreprise qui nĂ©cessitent la collecte et le traitement (par exemple : recrutement, la gestion de paie, la formation, statistiques de ventes, gestion des clients et prospectsâŠ).
CrĂ©ez une fiche pour chaque activitĂ© recensĂ©e en prĂ©cisant l'objectif poursuivi (par exemple : la fidĂ©lisation client), les catĂ©gories de donnĂ©es utilisĂ©es (noms, prĂ©noms, date de naissance âŠ), qui a accĂšs aux donnĂ©es et la durĂ©e de conservation de ces donnĂ©es d'un point de vue opĂ©rationnel et ensuite en archives.
2. Faites le tri dans vos données
La constitution du registre vous permet de vous interroger sur les données dont votre entreprise a réellement besoin. Pour chaque fiche créée, vérifiez que :
Les données que vous traitez sont nécessaires à vos activités
vous ne traitez aucune donnĂ©e dite "sensible" ou seulement si vous avez le droit ("traitement de donnĂ©es Ă risque : ĂȘtes-vous concernĂ©âŻ?")
seules les personnes habilitées y ont accÚs
vous ne conservez pas vos données au-delà de ce qui est nécessaire
Profitez-en pour améliorer vos pratiques ! Minimisez la collecte de données en éliminant de vos formulaires et de vos bases de données, toutes les informations inutiles.
Vous pouvez également échanger avec des entreprises comparables ou avec votre fédération professionnelle sur votre mise en place du RGPD. Cela vous aidera à mieux appréhender le reste à faire.
3. Respectez le droit des internautes
Dans un premier temps, il faut les informer. à chaque fois que vous collectez des données personnelles, le support doit comporter des mentions d'information :
pourquoi vous les collectez
ce qui vous autorise à les traiter (le "fondement juridique", le consentement de la personne concernée, respect d'une obligation légale ...)
qui a accÚs aux données
la durée de conservation
comment les internautes peuvent exercer leurs droits (via un espace personnel sur votre site, un message sur un email dédié, par courrier, etc)
si transfert des données hors de l'UE, précisez quel pays et l'encadrement juridique qui maintient le niveau de protection des données.
Pour éviter des mentions trop longues sur un formulaire en ligne, vous pouvez donner un premier niveau d'information en fin de formulaire et renvoyez à une politique de confidentialité sur votre site.
Ensuite, permettez aux internautes d'exercer facilement leurs droits. Les personnes dont vous traitez les données (clients, collaborateurs, prestataires), ont des droits sur elles : droit d'accÚs, de rectification, de modification, d'opposition, d'effacement, à la portabilité et à la limitation du traitement.
Vous devez leur donner les moyens d'exercer ces droits : prévoyez par exemple un formulaire de contact spécifique, un numéro de téléphone ou une adresse mail dédiée.
Enfin, mettez en place un processus interne permettant de garantir l'identification et le traitement des demandes dans des courts délais (un mois maximum).
Soyez réactifs ! Cela renforcera la confiance, la relation client et vous mettra à l'abri des mauvais avis ou de réclamations auprÚs de la CNIL.
4. Sécurisez vos données
MĂȘme si le risque zĂ©ro n'existe pas, vous devez prendre les mesures nĂ©cessaires pour garantir au mieux la sĂ©curitĂ© des donnĂ©es.
Vous ĂȘtes tenu Ă une obligation lĂ©gale d'assurer la sĂ©curitĂ© des donnĂ©es personnelles que vous dĂ©tenez. Vous en garantissez l'intĂ©gritĂ© en minimisant les risques de pertes ou de piratage. Les mesures Ă prendre dĂ©pendent de la sensibilitĂ© des donnĂ©es que vous traitez et des risques qui pĂšsent sur les personnes en cas d'incident.
Voici quelques réflexes à avoir :
Mise Ă jour de vos antivirus et logiciels, changement rĂ©gulier des mots de passe et utilisation de mots de passe complexes, ou chiffrement de vos donnĂ©es dans certaines situations. En cas de perte ou vol dâun outil informatique, il sera plus difficile Ă un tiers dây accĂ©der.
Regardez combien de fois vos utilisateurs activent la fonctionnalité "mot de passe oublié". Si le taux est faible, voire nul, c'est que votre politique de gestion des mots de passe n'est pas assez exigeante.
Ayez à l'esprit les conséquences, pour les personnes, de la perte, la divulgation, la modification non souhaitée de leurs données et prenez les mesures nécessaires pour minimiser ces risques.
Les questions à se poser pour évaluer le niveau de sécurité :
Les comptes utilisateurs internes et externes sont-ils protégés par des mots de passe d'une complexité suffisante ?
Les accÚs aux locaux sont-ils sécurisés ?
Des profils distincts sont-ils créés selon les besoins des utilisateurs pour accéder aux données ?
Avez-vous mis en place une procédure de sauvegarde et de récupération des données en cas d'incident ?
5. Signalez à la CNIL les violations de données personnelles
Si votre entreprise subit une violation de données, vous devez la signaler à la CNIL dans les 72 heures. Si cette violation est un risque important pour les personnes, vous devez les en informer.
A l'issue de ces Ă©tapes, vous serez en capacitĂ© dâassurer une protection des donnĂ©es personnelles en continu et de faire face aux incidents.