RGPD : comment se mettre en conformité ?

La loi RGPD : qu’est-ce que c’est ?

Depuis le confinement, la création du nombre de sites web a explosé et du nombre de requêtes réalisées chaque jour sur les moteurs de recherche, les données personnelles sont devenues un véritable enjeu numérique dans la chaîne de création des entreprises. Elles permettent de personnaliser et contrôler la relation client et gagner en efficacité, mais aussi d’améliorer les produits et services.

Le contexte juridique a donc dû s’adapter pour suivre cette évolution et réfléchir à un règlement pour garantir une meilleure maîtrise des données personnelles. Et c’est ainsi qu’un nouveau règlement à vu le jour en Europe le 26 mai 2018 : le Règlement Général pour la Protection des Données (RGPD)

A quoi sert le RGPD ?

Le RGPD harmonise les règles en Europe et permet aux entreprises de développer leurs activités numériques au sein de l’UE en se fondant sur la confiance des utilisateurs. Il renforce les droits des personnes et responsabilise davantage les organismes publics et privés qui traitent leurs données.

Faire comprendre la manière dont vous utilisez leurs données personnelles et leur donner la possibilité de les maîtriser, renforce la confiance et favorise donc votre activité, y compris à l’export. 

Qui est concerné par le RGPD ?

Il s’applique à toute organisation, publique et privée, qui traite des données personnelles, ainsi que les sous-traitants. Toutes les entreprises établies sur le territoire européen sont concernées mais aussi celles qui sont hors UE à partir du moment où elles commercent avec l’Europe.

 Comment se mettre en conformité ?

Plus votre entreprise traite un volume de données important, plus les moyens pour vous mettre en conformité seront importants.

Il y a 4 actions principales à mettre en place pour entamer votre mise en conformité :

c

1 / Recenser vos fichiers

Identifiez les activités principales de votre entreprise qui nécessitent la collecte et le traitement de données. Il existe un modèle sur le site de la CNIL.

Dans ce registre, créez une fiche pour chaque activité recensée :

  • Objectif /finalité (ex : fidélisation client)
  • Catégories des données conservées
  • Qui a accès aux données
  • La durée de conservation des données.

Ce registre est placé sous la responsabilité du dirigeant.

En constituant votre registre, vous aurez une vision d’ensemble sur vos traitements de données.

2/ Trier les données

Cela signifie que pour chaque fiche créée, il vous faut vérifier que :

  • Les données que vous traitez soient nécessaires à votre activité
  • Vous ne traitez aucune donnée dîtes « sensible » ou si c’est le cas, que vous avez le droit de les traiter.
  • Seules les personnes habilitées ont accès aux données
  • Vous ne conservez pas les données au-delà de ce qui est nécessaire.

La constitution du registre vous permet de vous interroger sur les données dont votre entreprise a réellement besoin.

3/ Respecter les droits des personnes

Le RGPD renforce l’obligation d’information et de transparence à l’égard des personnes dont vous traitez les données (clients, collaborateurs,…)

Informez les personnes à chaque fois que vous collectez les données personnelles. Le support utilisé doit comporter des mentions d’informations.

Vous pourrez trouver des exemples de mentions sur le site internet de la CNIL.

Permettez aux personnes d’exercer facilement leurs droits en prévoyant un formulaire de contact spécifique, un numéro de téléphone ou une adresse mail dédiée. Mettez en place un processus interne pour les traitements des demandes dans des délais courts (un mois maximum)

4 / Sécuriser les données

Le risque zéro n’existe pas et vous devez prendre toutes les mesures nécessaires pour garantir au mieux la sécurité des données personnelles. Les mesures à prendre dépendent de la sensibilité des données traitées.

Signalez à la CNIL les violations de données personnelles dans les 72H si vous estimez que cela est susceptible de représenter un risque pour les droits et libertés des personnes concernées.