Intégrer les obligations du RGPD est aujourd’hui une nécessité pour toutes les entreprises, TPE/PME incluses. Vous n’avez pas encore toutes les clés ? Je vous aide dans cet article à vous approprier le RGPD et ses principes dans votre activité. Gérer les données que vous recueillez et garantir les droits des personnes n’auront plus de secret pour vous !
Le RGPD en bref
Entré en vigueur en mai 2018, il confère une protection accrue aux personnes face aux nouvelles réalités numériques. Il renforce ainsi les conditions applicables au consentement des utilisateurs quant au recueil et au traitement de leurs données personnelles par les entreprises et différents organismes. De leur côté, les entreprises qui traitent chaque jour de nombreuses données personnelles (par exemple fichiers clients, fournisseurs, RH…) doivent mettre en place des mesures de protection des données adéquates et pouvoir démontrer leur conformité à tout moment.
Les questions à vous poser pour vous approprier le RGPD
Le RGPD s’applique-t-il au TPE/PME ?
La réponse est oui ! Il s’applique à l’ensemble des professionnels, quels que soient leur secteur d’activité ou leur taille. En la matière, grands groupes comme petites entreprises sont égaux. Cependant, son application est modulée selon la nature de votre activité, les finalités et les risques des traitements de données mis en œuvre. Par exemple, si vous traitez des données médicales sensibles, les risques potentiels pour les droits des personnes sont bien plus élevés que si vous traitez des adresses emails associées à des prénoms. Par ailleurs, si le traitement des données personnelles n’est pas le cœur de votre métier, les obligations sont moindres. Aucune chance que vous soyez dans l’obligation d’effectuer une analyse d’impact si vous vous contentez de recueillir les adresses de vos clients pour leur envoyer vos factures !
Le RGPD concerne-t-il seulement les fichiers informatiques ?
Eh bien non ! Vos fichiers clients, RH ou fournisseurs dans des classeurs ou des trieurs sont aussi concernés. Et en tant que tels, ils doivent faire l’objet d’un registre de traitement.
Mais c’est quoi, un registre de traitement ?
C’est un registre qui permet de recenser vos traitements de données et de disposer d’une vue d’ensemble de ce que vous faites des données personnelles collectées. C’est-à-dire, quelles sont-elles, à quoi servent-elles, qui y a accès, comment sont-elles sécurisées, etc. Tenir un registre de traitement est une obligation légale, et la CNIL a élaboré un modèle adapté à la plupart des activités.
Comment m’assurer de respecter les droits des personnes ?
Respecter les droits des personnes n’est pas difficile. Visez la transparence, notamment en :
- Informant les personnes du recueil de leurs données, mais aussi de l’objectif poursuivi. Par exemple, sur vos bandeaux de cookies ou votre politique de confidentialité en cas de recueil de données sur votre site Web.
- Répondant aux demandes d’exercice des droits : les personnes peuvent en effet demander à rectifier leurs données, à les effacer ou s’opposer à leur utilisation.
Quelles mesures de protection des données personnelles dois-je prendre ?
La protection des données personnelles est l’un des enjeux majeurs du RGPD. Pour vous assurer que celles que vous détenez sont bien protégées (celles de vos clients mais aussi de vos employés ou fournisseurs !), il convient de respecter, en plus des règles de bon sens, des principes de base :
- Sécuriser les accès à vos locaux : si on peut entrer dans vos bureaux ou dans votre salle des serveurs comme dans un moulin, vos données seront nécessairement mal protégées ;
- Utiliser des antivirus et des logiciels à jour, afin d’éviter les piratages informatiques
- Choisir des mots de passe forts (et ne pas les donner à tout le monde) ;
- Créer des profils distincts pour les différents utilisateurs qui ont accès aux bases de données : si vous constatez un problème, il sera plus simple de savoir qui est en cause ;
- Sauvegarder vos données : copies rangées en lieu sûr, fichiers dans un coffre-fort ignifugé, sauvegardes sur un Cloud hébergé au sein de l’Union Européenne… Assurez-vous de protéger vos données au maximum et de pouvoir les récupérer en cas d’incident !
Pour aller plus loin dans votre connaissance du RGPD et l’intégrer au mieux au sein des activités de votre TPE/PME, pensez à vous former et à former vos équipes. Je vous propose des formations à distance, contactez-moi pour en savoir plus !