Accéder au contenu principal

REGLEMENT GENERAL SUR LA PROTECTION DES DONNEES

est une étape majeure dans la protection des données. Il vise à renforcer l’importance de cet enjeu auprès de ceux qui traitent les données et à responsabiliser les professionnels. Il consacre et renforce les grands principes de la loi Informatique et Libertés, en vigueur depuis 1978, et accroît sensiblement les droits des citoyens en leur donnant plus de maitrise sur leurs données.

En pratique, la plupart des formalités préalables actuelles auprès de la CNIL (déclarations, autorisations) vont disparaître, au profit d’une logique de conformité continue. Les organismes qui traitent des données personnelles devront veiller au respect des textes tout au long du cycle de vie de la donnée.

Les objectifs du règlement européen sont notamment de renforcer les droits des personnes physiques dont les données personnelles sont exploitées.

Application

Le nouveau règlement général sur la protection des données (RGPD) est applicable à compter du 25 mai 2018 et concerne toutes les entreprises possédant des fichiers de données.

4 actions principales

Quatre actions principales sont à mener pour entamer votre mise en conformité aux règles de protection des données. Ces actions doivent perdurer dans le temps pour être efficaces.

1.    Constituer un registre des traitements de données

Ce document vous permet de recenser tous vos fichiers et d’avoir une vision d’ensemble.

Identifiez les activités principales de votre entreprise qui nécessitent la collecte et le traitement de données.
Exemples : recrutement, gestion de la paye, formation, gestion des badges et des accès, statistiques de ventes, gestion des clients prospects, etc.

Dans votre registre, créez une fiche pour chaque activité recensée, en précisant :

  • L’objectif poursuivi (la finalité - exemple : la fidélisation client)
  • Les catégories de données utilisées (exemple pour la paie : nom, prénom, date de naissance, salaire, etc.)
  • Qui a accès aux données (le destinataire - exemple : secrétaire, hébergeurs…)
  • La durée de conservation de ces données (durée durant laquelle les données sont utiles d’un point de vue opérationnel, et durée de conservation en archive)

Le registre est exhaustif et à jour, pour se faire l’ensemble des personnes de l’entreprise susceptibles de traiter des données personnelles apportent leurs contributions.

Le registre permet d’obtenir une vision d’ensemble sur vos traitements de données.

2.  Faire le tri dans les données

La constitution du registre vous permet de s’interroger sur les données dont l’entreprise a réellement besoin.

Pour chaque fiche de registre créée : une vérification des données 

  • les données sont-elles nécessaires à l’activité (par exemple, il n’est pas utile de savoir si les salariés ont des enfants, s’il n’est pas offert de service ou de rémunération attachée à cette caractéristique)
  • seules les personnes habilitées ont accès aux données dont elles ont besoin
  • les données ne doivent pas être conservées au-delà de ce qui est nécessaire

Amélioration des pratiques ! Minimisez la collecte de données, se limiter aux données utiles pour l’entreprise. Redéfinir qui doit pouvoir accéder à quelles données dans votre entreprise. Mettre en place des règles automatiques d’effacement ou d’archivage au bout d’une certaine durée.

3.  Respecter les droits des personnes

Le RGPD renforce l’obligation d’information et de transparence à l’égard des personnes dont les données sont traitées dans l’entreprises (clients, collaborateurs, etc.).

Informez les personnes

À chaque fois que des données personnelles sont collectées, le support utilisé (formulaire, questionnaire, etc.) doit comporter des mentions d’information.

Vérifiez que l’information comporte les éléments suivants :

  • Pourquoi collecter les données (« la finalité » ; par exemple pour gérer l’achat en ligne du consommateur)
  • Ce qui autorise à traiter ces données (le « fondement juridique » : il peut s’agir du consentement de la personne concernée, de l’exécution d’un contrat, du respect d’une obligation légale qui s’impose »)
  • Qui a accès aux données (indiquez des catégories : les services internes compétents, un prestataire, etc.)
  • Combien de temps les données sont conservées (exemple : « 5 ans après la fin de la relation contractuelle »)
  • Les modalités selon lesquelles les personnes concernées peuvent exercer leurs droits (via leur espace personnel sur votre site internet, par un message sur une adresse email dédiée, par un courrier postal à un service identifié)
  • Si les données sont transférées hors de l’UE (préciser le pays et l’encadrement juridique qui maintient le niveau de protection des données)

 

Permettre aux personnes d’exercer facilement leurs droits

Les personnes dont les données sont traitées (clients, collaborateurs, prestataires, etc.) ont des droits sur leurs données, qui sont d’ailleurs renforcés par le RGPD : droit d’accès, de rectification, d’opposition, d’effacement, à la portabilité et à la limitation du traitement.

Il est nécessaire de leur donner les moyens d’exercer effectivement leurs droits. Communiquer le nom d’un contact spécifique, un numéro de téléphone ou une adresse de messagerie dédiée.  Mettre en place un processus interne permettant de garantir l’identification et le traitement des demandes dans des délais courts (1 mois au maximum).

 

4.  Sécuriser les données

Si le risque zéro n’existe pas en informatique, des mesures sont nécessaires pour garantir au mieux la sécurité des données.

Garantir l’intégrité des données en minimisant les risques de pertes de données ou de piratage.

Des réflexes doivent être mis en place : mises à jour de vos antivirus et logiciels, changement régulier des mots de passe et utilisation de mots de passe complexes, ou chiffrement de vos données dans certaines situations. En cas de perte ou vol d’un outil informatique, il sera plus difficile pour un tiers d’y accéder.

Exemple : vous êtes restaurateur et vous livrez à domicile. Vos clients vous communiquent leur adresse précise et le code d’entrée de leur immeuble. Si ces informations sont piratées ou perdues, elles peuvent être utilisées pour s’introduire frauduleusement au domicile de votre client.

Pour en savoir plus :

En cas de difficultés (un sinistre, une attaque informatique, etc.), le site gouvernemental www.cybermalveillance.gouv.fr vous propose de l’aide en ligne ainsi qu’une liste de prestataires approuvés.

L’approche assurantielle au-delà du RGPD :
Cette démarche d’anticipation sur le niveau global de sécurité peut être complétée par une approche assurantielle. Se renseigner auprès des professionnels sur le contenu possible des polices d’assurance (responsabilité civile, dommages couverts…). Et surtout sur les services à l’assuré (notamment l’assistance en cas de sinistre, de gestion de crise…).

Signalez à la CNIL les violations de données personnelles

L’entreprise a subi une violation de données (des données personnelles ont été, de manière accidentelle ou illicite, détruites, perdues, altérées, divulguées ou constat d’un accès non autorisé à des données).

Signaler à la CNIL dans les 72 heures si cette violation est susceptible de représenter un risque pour les droits et libertés des personnes concernées. Cette notification s’effectue en ligne sur le site internet de la CNIL.

Si ces risques sont élevés pour les personnes concernées par les données détenues, obligation de les informer.

Pour plus d’informations : https://www.cnil.fr/fr/rgpd-comment-la-cnil-vous-accompagne-dans-cette-periode-transitoire

  • Val de Loire
  • REGLEMENT GENERAL SUR LA PROTECTION DES DONNEES