Toutes les entreprises établies sur le territoire de l'Union européenne et qui stockent des données personnelles sont donc concernées par le RGPD. Nous allons voir, en quatre étapes, comment s'y conformer et par où commencer.
1. Constituez un registre de vos traitements de données
Ce document va vous permettre de recenser tous vos fichiers et d'avoir une vision d'ensemble. Ce registre sera placé sous la responsabilité du dirigeant de l'entreprise.
Tout d'abord, il faut identifier les activités principales de votre entreprise qui nécessitent la collecte et le traitement (par exemple : recrutement, la gestion de paie, la formation, statistiques de ventes, gestion des clients et prospects…).
Créez une fiche pour chaque activité recensée en précisant l'objectif poursuivi (par exemple : la fidélisation client), les catégories de données utilisées (noms, prénoms, date de naissance …), qui a accès aux données et la durée de conservation de ces données d'un point de vue opérationnel et ensuite en archives.
2. Faites le tri dans vos données
La constitution du registre vous permet de vous interroger sur les données dont votre entreprise a réellement besoin. Pour chaque fiche créée, vérifiez que :
Les données que vous traitez sont nécessaires à vos activités
vous ne traitez aucune donnée dite "sensible" ou seulement si vous avez le droit ("traitement de données à risque : êtes-vous concerné ?")
seules les personnes habilitées y ont accès
vous ne conservez pas vos données au-delà de ce qui est nécessaire
Profitez-en pour améliorer vos pratiques ! Minimisez la collecte de données en éliminant de vos formulaires et de vos bases de données, toutes les informations inutiles.
Vous pouvez également échanger avec des entreprises comparables ou avec votre fédération professionnelle sur votre mise en place du RGPD. Cela vous aidera à mieux appréhender le reste à faire.
3. Respectez le droit des internautes
Dans un premier temps, il faut les informer. À chaque fois que vous collectez des données personnelles, le support doit comporter des mentions d'information :
pourquoi vous les collectez
ce qui vous autorise à les traiter (le "fondement juridique", le consentement de la personne concernée, respect d'une obligation légale ...)
qui a accès aux données
la durée de conservation
comment les internautes peuvent exercer leurs droits (via un espace personnel sur votre site, un message sur un email dédié, par courrier, etc)
si transfert des données hors de l'UE, précisez quel pays et l'encadrement juridique qui maintient le niveau de protection des données.
Pour éviter des mentions trop longues sur un formulaire en ligne, vous pouvez donner un premier niveau d'information en fin de formulaire et renvoyez à une politique de confidentialité sur votre site.
Ensuite, permettez aux internautes d'exercer facilement leurs droits. Les personnes dont vous traitez les données (clients, collaborateurs, prestataires), ont des droits sur elles : droit d'accès, de rectification, de modification, d'opposition, d'effacement, à la portabilité et à la limitation du traitement.
Vous devez leur donner les moyens d'exercer ces droits : prévoyez par exemple un formulaire de contact spécifique, un numéro de téléphone ou une adresse mail dédiée.
Enfin, mettez en place un processus interne permettant de garantir l'identification et le traitement des demandes dans des courts délais (un mois maximum).
Soyez réactifs ! Cela renforcera la confiance, la relation client et vous mettra à l'abri des mauvais avis ou de réclamations auprès de la CNIL.
4. Sécurisez vos données
Même si le risque zéro n'existe pas, vous devez prendre les mesures nécessaires pour garantir au mieux la sécurité des données.
Vous êtes tenu à une obligation légale d'assurer la sécurité des données personnelles que vous détenez. Vous en garantissez l'intégrité en minimisant les risques de pertes ou de piratage. Les mesures à prendre dépendent de la sensibilité des données que vous traitez et des risques qui pèsent sur les personnes en cas d'incident.
Voici quelques réflexes à avoir :
Mise à jour de vos antivirus et logiciels, changement régulier des mots de passe et utilisation de mots de passe complexes, ou chiffrement de vos données dans certaines situations. En cas de perte ou vol d’un outil informatique, il sera plus difficile à un tiers d’y accéder.
Regardez combien de fois vos utilisateurs activent la fonctionnalité "mot de passe oublié". Si le taux est faible, voire nul, c'est que votre politique de gestion des mots de passe n'est pas assez exigeante.
Ayez à l'esprit les conséquences, pour les personnes, de la perte, la divulgation, la modification non souhaitée de leurs données et prenez les mesures nécessaires pour minimiser ces risques.
Les questions à se poser pour évaluer le niveau de sécurité :
Les comptes utilisateurs internes et externes sont-ils protégés par des mots de passe d'une complexité suffisante ?
Les accès aux locaux sont-ils sécurisés ?
Des profils distincts sont-ils créés selon les besoins des utilisateurs pour accéder aux données ?
Avez-vous mis en place une procédure de sauvegarde et de récupération des données en cas d'incident ?
5. Signalez à la CNIL les violations de données personnelles
Si votre entreprise subit une violation de données, vous devez la signaler à la CNIL dans les 72 heures. Si cette violation est un risque important pour les personnes, vous devez les en informer.
A l'issue de ces étapes, vous serez en capacité d’assurer une protection des données personnelles en continu et de faire face aux incidents.