Skip to main navigation Skip to main navigation Aller au contenu principal Skip to breadcrumb Skip to footer

Soutenir, innover, agir en proximité

RGPD, par où commencer ?

Les quatre actions principales pour être en conformité

Des actions qui doivent s'inscrire dans le temps pour être efficaces et respecter la loi
Partagez sur Facebook Partagez sur Twitter Partagez sur LinkedIn
Partagez par Email

Qu'est-ce qu'une donnée à caractère personnel ? logotln

Définition

Selon la CNIL, une donnée à caractère personnel relève de toute information relative à une personne physique susceptible d'être identifiée, directement ou indirectement.

Exemple

Un nom, une photo, une empreinte, une adresse postale, une adresse mail, un numéro de téléphone, un numéro de sécurité sociale, un matricule interne, une adresse IP, un identifiant de connexion informatique, un enregistrement vocal, etc.

Il importe peu que ces informations soient confidentielles ou publiques

 

À noter : pour que ces données ne soient plus considérées comme personnelles, elles doivent être rendues anonymes de manière à rendre impossible toute identification de la personne concernée : noms masqués, visages floutés, etc.

Attention : s'il est possible par recoupement de plusieurs informations (âge, sexe, ville, diplôme, etc.) ou par l'utilisation de moyens techniques divers, d'identifier une personne, les données sont toujours considérées comme personnelles.

Traitement des données personnelles, c'est quoi ?

Toute opération portant sur des données personnelles, quel que soit le procédé utilisé est défini comme traitement. Par exemple, enregistrer, organiser, conserver, modifier, rapprocher avec d'autres données, transmettre, etc. des données personnelles.

 

Un traitement de données n'est pas uniquement un fichier, une base de données ou un tableau Excel. Il peut s'agir aussi d'une installation de vidéosurveillance, d'un système de paiement par carte bancaire ou de reconnaissance biométrique, d'une application pour smartphone, etc….

 De nombreux types de traitements apparaissent et évoluent selon les innovations technologiques.  Un traitement de données à caractère personnel peut cependant être informatisé ou non : Un fichier papier organisé selon un plan de classement, des formulaires papiers nominatifs ou des dossiers de candidatures classés par ordre alphabétique ou chronologique sont aussi des traitements de données personnelles.

 

 

 

Constituer un registre de vos traitements de données

Identifiez les activités principales de l'entreprise

Analysez les activités principales qui nécessitent la collecte et le traitement de données (exemple : recrutement, gestion de la paye, formation, gestion des badges et des accès, statistiques de ventes, gestion des clients et prospects, etc…)   

Astuce : appuyez-vous sur ce modèle de registre accessible en ligne ici 

Dans votre registre, créez une fiche pour chaque activité recensée en précisant :

  • L’objectif poursuivi (la finalité - exemple : la fidélisation client)
  • Les catégories de données utilisées (exemple pour la paie : nom, prénom, date de naissance, salaire)
  • Qui a accès aux données (le destinataire - exemple : service chargé du recrutement, service informatique, direction, prestataires, partenaires, hébergeurs)
  • La durée de conservation de ces données (durée durant laquelle les données sont utiles d’un point de vue opérationnel, et durée de conservation en archive).

 

Le registre est placé sous la responsabilité du dirigeant de l'entreprise. Pour avoir un registre exhaustif et à jour, il faut échanger avec toutes les personnes de l'entreprise amenées à traiter les données personnelles. Constituer un registre vous donnera une vision d'ensemble sur vos traitements de données.

 

Faites le tri dans vos données

La constitution d'un registre vous permettra de remettre en question la qualification de vos données qui servent réellement au besoin de votre entreprise. Pour chaque fiche de registre créée, vérifiez que :

  • les données sont nécessaires à votre activité (ex : il n'est pas utile de savoir si vos salariés ont des enfants, si vous n'offrez aucun service ou rémunération attachée à cette caractéristique)
  • vous ne traitez aucune donnée dite "sensible" ou si c'est le cas, que vous avez bien le droit de les traiter.
  • seules les personnes habilitées ont accès aux données dont elles ont besoin,
  • vous ne conservez pas vos données au-delà de ce qui est nécessaire.  

Minimisez la collecte de données, en éliminant de vos formulaires de collecte et vos bases de données toutes les informations inutiles. Redéfinissez qui doit pouvoir accéder à quelles données dans votre entreprise. Pensez à poser des règles automatiques d’effacement ou d’archivage au bout d’une certaine durée dans vos applications.        

Échanger avec des entreprises comparables ou avec d'autres entrepreneurs sur la mise en œuvre du RGPD ou consulter une fédération professionnelle permet souvent de mieux appréhender l'étendue de ce qu'il y a à faire.

Respecter les droits des personnes

Le RGPD renforce l’obligation d’information et de transparence à l’égard des personnes dont vous traitez les données (clients, collaborateurs, etc.).

 

Informez les personnes

À chaque fois que vous collectez des données personnelles, le support utilisé (formulaire, questionnaire, etc.) doit comporter des mentions d’information. Vérifiez que l'information comporte les éléments suivants :

  • pourquoi vous collectez les données (exemple : pour gérer l'achat en ligne du consommateur)
  • ce qui vous autorise à traiter ces données (exemple : le fondement juridique. Il peut s'agir du consentement de la personne concernée, de l'exécution d'un contrat, du respect d'une obligation légale qui s'impose à vous, ou de votre intérêt "légitime)
  • qui a accès aux données (indiquez des catégories : les services internes compétents, un prestataire)
  • combien de temps vous les conservez (exemple : « 5 ans après la fin de la relation contractuelle »)
  • les modalités selon lesquelles les personnes concernées peuvent exercer leurs droits (via leur espace personnel sur votre site internet, par un message sur une adresse e-mail dédiée, par un courrier postal à un service identifié)
  • si vous transférez des données hors de l’UE (précisez le pays et l’encadrement juridique qui maintient le niveau de protection des données)

 

Astuce : appuyez-vous sur ces exemples de mentions   

Pour éviter des mentions trop longues au niveau d’un formulaire en ligne, vous pouvez, par exemple, donner un premier niveau d’information en fin de formulaire et renvoyer à une politique de confidentialité / page vie privée sur votre site internet. À l’issue de cette étape, vous avez répondu à votre obligation de transparence.

Permettre aux personnes d'exercer facilement leurs droits

Les personnes dont vous traitez les données (clients, collaborateurs, prestataires, etc.) ont des droits sur leurs données, lesquels sont renforcés par le RGPD : droit d’accès, de rectification, d’opposition, d’effacement, à la portabilité et à la limitation du traitement.Vous devez leur donner les moyens d’exercer effectivement leurs droits.

  • Si vous disposez d’un site web, prévoyez un formulaire de contact spécifique, un numéro de téléphone ou une adresse de messagerie dédiée.
  • Si vous proposez un compte en ligne, donnez à vos clients la possibilité d’exercer leurs droits à partir de leur compte.

 

Mettez en place un processus interne permettant de garantir l'identification et le traitement des demandes dans des délais courts (1 mois maximum)

Soyez réactifs ! En traitant correctement les demandes des consommateurs relatives à leurs données personnelles, vous renforcez la confiance et sécurisez la relation-client. Cela vous permet de vous mettre à l’abri de critiques sur les réseaux sociaux, ou de réclamations auprès de la CNIL.

A l'issue de cette étape, vous serez en mesure de répondre aux demandes des personnes concernées.

Pour en savoir plus : Respecter les droits des personnes

Sécuriser vos données

Le risque zéro n'existe pas en matière informatique mais vous devez tout mettre en œuvre pour garantir la sécurité des données recueillies. Vous êtes tenu à l'obligation légale d'assurer la sécurité des données personnelles que vous détenez et à vous prémunir contre les risques de pertes de données et de piratage. Les mesures à prendre dépendent de la sensibilité des données qui sont en votre possession et des risques encourus par les personnes en cas d'incident.

 

Avoir les bons réflexes

Procéder aux mises à jour de vos antivirus et logiciels

  • Changer régulièrement les mots de passe
  • Utiliser des mots de passe complexes
  • Opter pour le chiffrement de vos données dans certaines situations. En cas de perte ou vol d’un outil informatique, il sera plus difficile pour un tiers d’y accéder

   

Astuce : demandez à votre responsable informatique ou votre prestataire combien de fois vos utilisateurs activent la fonctionnalité « oubli de mot passe » chaque année. Si ce taux est faible voire nul, c’est que votre politique de gestion des mots de passe n’est pas assez exigeante !   

Les failles de sécurité ont également des conséquences pour ceux qui vous ont confié des données personnelles : ayez à l’esprit les conséquences pour les personnes de la perte, la divulgation, la modification non souhaitée de leurs données, et prenez les mesures nécessaires pour minimiser ces risques.

Pour évaluer le niveau de sécurité des données personnelles dans votre entreprise, voici quelques questions à se poser

  • Les comptes utilisateurs internes et externes sont-ils protégés par des mots de passe d’une complexité suffisante ?
  • Les accès aux locaux sont-ils sécurisés ? Des profils distincts sont-ils créés selon les besoins des utilisateurs pour accéder aux données ?
  • Avez-vous mis en place une procédure de sauvegarde et de récupération des données en cas d’incident ?

Signaler à la CNIL les violations de données personnelles

Votre entreprise a subi une violation de données (des données personnelles ont été, de manière accidentelle ou illicite, détruites, perdues, altérées, divulguées ou vous avez constaté un accès non autorisé à des données) ?

Vous devez la signaler à la CNIL dans les 72 heures si cette violation est susceptible de représenter un risque pour les droits et libertés des personnes concernées. Cette notification s’effectue en ligne sur le site internet de la CNIL. Si ces risques sont élevés pour ces personnes, vous devrez les en informer.

source : site officiel de la CNIL - avril 2018