Le RGPD, comment être conforme ?
RGPD, pour Règlement Général sur la Protection des Données, est un sigle qui est sur toutes les langues. Derrière ces termes barbares se cachent des lois qui ont vocation à mieux encadrer la manière dont les données personnelles sont exploitées.
Même s’il ne constitue pas en lui-même une nouveauté, il est en application depuis mai 2018, il est bon de revenir sur le RGPD. En effet, peu de TPE ont fait la démarche de rendre leur gestion des données personnelles conforme à la règlementation
De quoi parle-t-on ?
RGPD est un sigle sur toutes les langues. Il signifie pour Règlement Général sur la Protection des Données.
Derrière ces termes barbares se cachent des lois qui visent à mieux encadrer l’exploitation des données personnelles.
« Données personnelles » doit être entendu dans un sens très large. Il recouvre l’ensemble des informations relatives à des personnes qui peuvent les identifier directement (nom et prénom, adresse, n° téléphone…) ou indirectement, notamment par croisement de données (habitudes d’achat, géolocalisation…).
Les TPE et PME sont-elles concernées ?
Les petites entreprises sont tout aussi concernées que les grandes. Le règlement concerne toutes les entreprises qui effectuent des traitements réguliers de données. Ainsi la quasi totalité des entreprises sont concernées par l’exploitation d’un fichier client ou la gestion des fichiers du personnel.
Quelles actions pour être conforme ?
Pour les TPE, les obligations sont moins contraignantes que pour les grosses structures et répondent à 3 grands principes :
Le 1er principe est que les personnes physiques sur lesquelles vous avez des données personnelles
- soient averties de la collecte des données
- sachent pourquoi vous les collectez (emailing, statistiques…)
- soient informées de qui a accès aux données (généralement votre entreprise uniquement)
- connaissent la durée de conservation (3 ans après la dernière facture par ex.)
- sachent comment avoir accès à leurs données (pour modification, suppression…)
Le 2ème principe est qu’avant toute utilisation de ses données personnelles, tout individu doit donner son accord. Il est ainsi obligatoire, que la personne accepte de manière claire et non-équivoque et que le responsable du traitement soit en mesure de rapporter la preuve que le consentement a été valablement donné.
Le 3ème principe concerne la sécurité des données. Vous devez mettre en place les outils pour en éviter un vol, une destruction. Si une telle situation arrivait, vous devez prévenir la CNIL sous 72h.
Quelles actions mener pour être en conformité avec le RGPD :
Cette conformité passe par 3 étapes :
- Lister les actions qui nécessitent la collecte de données personnelles dans un registre puis établir une fiche descriptive pour chacune d’elles (modèle sur le site de la CNIL). Ce fichier est à stocker dans votre entreprise, il vous sera demandé en cas de contrôle de la CNIL
- Vérifier les outils vous permettant de recueillir l’accord des personnes et les adapter si besoin (formulaire du site web, par ex). Cela est valable pour vos futurs contacts mais aussi pour ceux existant.
- Mettre en place les outils de sécurisation de vos données (sauvegarde, antivirus…)
Ces actions ne sont pas compliquées et ne prennent que peu de temps. Une fois réalisées, vous serez en conformité vis à vis du RGPD et serein en cas de contrôle de la CNIL.
Pour aller plus loin
- Les ressources disponibles sur le site de la CNIL : le modèle de registre, ou le modèle de formulaire.
- Le RGPD expliqué en emojis, une vidéo réalisée par le youtubeur cookie connecté, en partenariat avec la CNIL
