Intégrer les obligations du RGPD est aujourd’hui une nécessité pour toutes les entreprises, TPE/PME incluses. Vous n’avez pas encore toutes les clés ? Je vous aide dans cet article à vous approprier le RGPD et ses principes dans votre activité. Gérer les données que vous recueillez et garantir les droits des personnes n’auront plus de secret pour vous !
Le RGPD c’est quoi ?
Entré en vigueur en mai 2018, il confère une protection accrue aux personnes face aux nouvelles réalités numériques. Il renforce ainsi les conditions applicables au consentement des utilisateurs quant au recueil et au traitement de leurs données personnelles par les entreprises et différents organismes.
De leur côté, les entreprises qui traitent chaque jour de nombreuses données personnelles (par exemple fichiers clients, fournisseurs, RH…) doivent mettre en place des mesures de protection des données adéquates et pouvoir démontrer leur conformité à tout moment.
> Le traitement des données personnelles dans le cadre du RGPD
Le Règlement Général sur la Protection des Données (RGPD) est une législation européenne qui impose aux entreprises un certain nombre de règles pour le traitement des données personnelles. Découvrez les principales obligations et responsabilités des entreprises en matière de traitement des données personnelles.
> Le RGPD s’applique-t-il aux0 TPE/PME ?
La réponse est oui ! Il s’applique à l’ensemble des professionnels, quels que soit leur secteur d’activité ou leur taille. En la matière, grands groupes comme petites entreprises sont égaux. Cependant, son application est modulée selon la nature de votre activité, les finalités et les risques des traitements de données mis en œuvre.
Par exemple, si vous traitez des données médicales sensibles, les risques potentiels pour les droits des personnes sont bien plus élevés que si vous traitez des adresses emails associées à des prénoms. Par ailleurs, si le traitement des données personnelles n’est pas le cœur de votre métier, les obligations sont moindres. Aucune chance que vous soyez dans l’obligation d’effectuer une analyse d’impact si vous vous contentez de recueillir les adresses de vos clients pour leur envoyer vos factures !
> Le RGPD concerne-t-il seulement les fichiers informatiques ?
Non, le RGPD (Règlement Général sur la Protection des Données) ne se limite pas aux fichiers informatiques. Il s’applique à tout traitement de données à caractère personnel, qu’il soit effectué de manière automatisée ou non, et qu’il soit stocké sous forme électronique ou sur support papier.
Ainsi, il englobe les données présentes dans des fichiers électroniques, mais également celles contenues dans des dossiers physiques. Il vise à garantir la protection des données personnelles, quel que soit leur support de stockage.
> Mais c’est quoi, un registre de traitement des données ?
Un registre de traitement des données, selon le RGPD, est un document ou un ensemble de documents qui répertorient les activités de traitement de données à caractère personnel effectuées par une organisation. Il doit contenir des informations détaillées sur ces traitements, tels que la finalité, les catégories de données traitées, les destinataires, les mesures de sécurité, et la durée de conservation.
C’est-à-dire, quelles sont les données collectées, à quoi servent-elles, qui y a accès, comment sont-elles sécurisées, quel délai de conservation etc. Tenir un registre de traitement est une obligation légale, et la CNIL a élaboré un modèle adapté à la plupart des activités.
Ce registre permet ainsi de démontrer la conformité au RGPD et de faciliter la coopération avec les autorités de contrôle en cas de besoin. Il constitue une preuve tangible des efforts déployés pour assurer la protection des données personnelles.
> Comment m’assurer de respecter les droits des personnes ?
Respecter les droits des personnes n’est pas difficile. Visez la transparence, notamment en :
- Informant les personnes du recueil de leurs données, mais aussi de l’objectif poursuivi. Par exemple, sur vos bandeaux de cookies ou votre politique de confidentialité en cas de recueil de données sur votre site Web.
- Répondant aux demandes d’exercice des droits : les personnes peuvent en effet demander à rectifier leurs données, à les effacer ou s’opposer à leur utilisation.
> Quelles mesures de protection des données personnelles dois-je prendre ?
La protection des données personnelles est l’un des enjeux majeurs du RGPD.
Pour vous assurer que celles que vous détenez sont bien protégées (celles de vos clients mais aussi de vos employés ou fournisseurs !), il convient de respecter, en plus des règles de bon sens, des principes de base :
- Sécuriser les accès à vos locaux : si on peut entrer dans vos bureaux ou dans votre salle des serveurs comme dans un moulin, vos données seront nécessairement mal protégées ;
- Utiliser des antivirus et des logiciels à jour, afin d’éviter les piratages informatiques
- Choisir des mots de passe forts (et ne pas les donner à tout le monde) ;
- Créer des profils distincts pour les différents utilisateurs qui ont accès aux bases de données : si vous constatez un problème, il sera plus simple de savoir qui est en cause ;
- Sauvegarder vos données : copies rangées en lieu sûr, fichiers dans un coffre-fort ignifugé, sauvegardes sur un Cloud hébergé au sein de l’Union Européenne… Assurez-vous de protéger vos données au maximum et de pouvoir les récupérer en cas d’incident !
Les étapes de mise en conformité RGPD
Pour une TPE ou une PME, la mise en conformité au RGPD requiert plusieurs étapes cruciales :
- Sensibilisation et Formation : Informer et former le personnel sur les principes du RGPD et les bonnes pratiques en matière de protection des données.
- Audit des Données : Identifier et inventorier les données personnelles collectées, traitées et stockées, ainsi que les finalités de ces traitements.
- Gestion des Consentements : S’assurer que les consentements pour le traitement des données sont valablement obtenus et documentés.
- Politique de Confidentialité : Rédiger et publier une politique de confidentialité claire et compréhensible pour les utilisateurs, expliquant comment sont traitées leurs données.
- Sécurité des Données : Mettre en place des mesures de sécurité adaptées pour prévenir la perte, le vol ou la divulgation non autorisée de données.
- Droits des Personnes Concernées : Établir des procédures pour répondre efficacement aux demandes d’accès, de rectification, de suppression, etc. des données personnelles.
- Registre des Traitements : Créer et tenir à jour un registre détaillé de tous les traitements effectués, en incluant les informations requises par le RGPD.
- Analyse d’Impact sur la Protection des Données (AIPD) : Réaliser une AIPD pour évaluer les risques et les mesures à prendre pour les traitements les plus sensibles.
- Notification des Violations de Données : Établir un processus pour signaler toute violation de données à l’autorité de contrôle compétente et, dans certains cas, aux personnes concernées.
- Contrats avec les Sous-traitants : Mettre en place des contrats conformes au RGPD avec les sous-traitants qui traitent des données pour le compte de l’entreprise.
- Conformité Continue : Mettre en place des procédures pour maintenir et vérifier régulièrement la conformité au RGPD.
Chaque étape doit être documentée et des preuves de conformité doivent être conservées. La taille de l’entreprise ne dispense pas de l’obligation de respecter les dispositions du RGPD.
Se former au RGPD
Notre agence, DPO Agency, met à disposition des entreprises des formations à distance, spécialisées dans la mise en conformité RGPD. Ces sessions permettent d’acquérir les connaissances essentielles et les compétences pratiques nécessaires pour garantir la protection des données personnelles au sein de votre organisation. Pour plus d’infos, prenez rendez-vous.
Autrice des News RGPD
Stéphann Fourrier
Consultez régulièrement l’univers RGPD, les acteurs, la mise en conformité, la protection des données avec Stéphan Fourrier de DPO Agency.