Dans cet article, nous abordons les actions principales à mettre en œuvre pour respecter le Règlement Général sur la Protection des Données (RGPD). Des actions qui doivent s'inscrire dans le temps pour être efficaces et respecter la loi.
Qu'est-ce qu'une donnée à caractère personnel ?
Définition
Selon la CNIL, une donnée à caractère personnel relève de toute information relative à une personne physique susceptible d'être identifiée, directement ou indirectement.
Exemples de données à caractère personnel : un nom, une photo, une empreinte, une adresse postale, une adresse email, un numéro de téléphone, un numéro de sécurité sociale, un matricule interne, une adresse IP, un identifiant de connexion informatique, un enregistrement vocal...
Pour que ces données ne soient plus considérées comme personnelles, elles doivent être rendues anonymes de manière à rendre impossible toute identification de la personne concernée : noms masqués, visages floutés...
Traitement des données personnelles, c'est quoi ?
Toute opération portant sur des données personnelles, quel que soit le procédé utilisé, est défini comme traitement. Par exemple, enregistrer, organiser, conserver, modifier, rapprocher avec d'autres données, transmettre des données personnelles.
Un traitement de données n'est pas uniquement un fichier, une base de données ou un tableau Excel. Il peut s'agir aussi d'une installation de vidéosurveillance, d'un système de paiement par carte bancaire ou de reconnaissance biométrique, d'une application pour smartphone…
Un traitement de données à caractère personnel peut cependant être informatisé ou non : un fichier papier organisé selon un plan de classement, des formulaires papiers nominatifs ou des dossiers de candidatures classés par ordre alphabétique ou chronologique sont aussi des traitements de données personnelles.
Constituer un registre de traitements de données
Identifier les activités principales de l'entreprise
Dans un premier temps, il faut analyser les activités principales qui nécessitent la collecte et le traitement de données (exemple : recrutement, gestion de la paie, formation, gestion des badges et des accès, statistiques de ventes, gestion des clients et prospects…).
La CNIL met à disposition un modèle de registre des activités de traitement.
Dans un registre, il faut créer une fiche pour chaque activité recensée, en précisant :
- L’objectif poursuivi (la finalité — exemple : la fidélisation client)
- Les catégories de données utilisées (exemple pour la paie : nom, prénom, date de naissance, salaire)
- Qui a accès aux données (le destinataire — exemple : service chargé du recrutement, service informatique, direction, prestataires, partenaires, hébergeurs)
- La durée de conservation de ces données (durée durant laquelle les données sont utiles d’un point de vue opérationnel, et durée de conservation en archive)
Le registre est placé sous la responsabilité du dirigeant de l'entreprise. Pour avoir un registre exhaustif et à jour, il faut échanger avec toutes les personnes de l'entreprise amenées à traiter les données personnelles.
Faites le tri dans vos données
La constitution d'un registre permet de remettre en question la qualification des données qui servent réellement au besoin de l'entreprise.
Pour chaque fiche créée dans le registre, il faut vérifier que :
- les données sont nécessaires à l'activité (ex : il n'est pas utile de savoir si les salariés ont des enfants, s'il n'y a aucun service ou rémunération attachée à cette caractéristique)
- aucune donnée dite "sensible" n'est traitée ou si c'est le cas, qu'il y a bien le droit de les traiter
- seules les personnes habilitées ont accès aux données dont elles ont besoin
- les données ne sont pas conservées au-delà de ce qui est nécessaire
Il faut minimiser la collecte de données, en éliminant des formulaires de collecte et des bases de données toutes les informations inutiles. Il peut être utile de redéfinir qui doit pouvoir accéder à quelles données dans l'entreprise. Il faut aussi penser à poser des règles automatiques d’effacement ou d’archivage au bout d’une certaine durée.
Respecter les droits des personnes
Le RGPD renforce l’obligation d’information et de transparence à l’égard des personnes dont l'entreprise traite les données (clients, collaborateurs...).
Informer les personnes
À chaque fois que l'entreprise collecte des données personnelles, le support utilisé (formulaire, questionnaire, etc.) doit comporter des mentions d’information :
- pourquoi l'entreprise collecte les données (exemple : pour gérer l'achat en ligne du consommateur)
- ce qui l'autorise à traiter ces données (exemple : le fondement juridique ; il peut s'agir du consentement de la personne concernée, de l'exécution d'un contrat, du respect d'une obligation légale qui s'impose à l'entreprise, ou de son intérêt légitime)
- qui a accès aux données (indiquer des catégories : les services internes compétents, un prestataire)
- combien de temps les données sont conservées (exemple : « 5 ans après la fin de la relation contractuelle »)
- les modalités selon lesquelles les personnes concernées peuvent exercer leurs droits (via leur espace personnel sur le site internet de l'entreprise, par un message sur une adresse e-mail dédiée, par un courrier postal à un service identifié)
- si elle transfère des données hors de l’UE (préciser alors le pays et l’encadrement juridique qui maintient le niveau de protection des données)
La CNIL met à disposition des exemples de mentions d'information.
Pour éviter des mentions trop longues au niveau d’un formulaire en ligne, l'entreprise peut, par exemple, donner un premier niveau d’information en fin de formulaire et renvoyer à une politique de confidentialité sur son site internet. À l’issue de cette étape, elle a répondu à son obligation de transparence.
Permettre aux personnes d'exercer facilement leurs droits
Les personnes dont l'entreprise traite les données (clients, collaborateurs, prestataires...) ont des droits sur leurs données, lesquels sont renforcés par le RGPD : droit d’accès, de rectification, d’opposition, d’effacement, à la portabilité et à la limitation du traitement.
- Si elle dispose d’un site web, il faut qu'elle prévoie un formulaire de contact spécifique, un numéro de téléphone ou une adresse de messagerie dédiée
- Si elle propose un compte en ligne, elle doit donner à ses clients la possibilité d’exercer leurs droits à partir de leur compte
L'entreprise doit mettre en place un processus interne permettant de garantir l'identification et le traitement des demandes dans des courts délais (un mois maximum).
Soyez réactifs ! En traitant correctement les demandes des consommateurs relatives à leurs données personnelles, l'entreprise renforce la confiance et sécurise sa relation-client. Cela lui permet de se mettre à l’abri de critiques sur les réseaux sociaux, ou de réclamations auprès de la CNIL.
À l'issue de cette étape, l'entreprise sera en mesure de répondre aux demandes des personnes concernées.
Pour en savoir plus : Respecter les droits des personnes.
Sécuriser ses données
Le risque zéro n'existe pas en matière informatique, mais l'entreprise doit tout mettre en œuvre pour garantir la sécurité des données recueillies. Elle est tenue à l'obligation légale d'assurer la sécurité des données personnelles qu'elle détient et à se prémunir contre les risques de pertes de données et de piratage. Les mesures à prendre dépendent de la sensibilité des données qui sont en sa possession et des risques encourus par les personnes en cas d'incident.
Avoir les bons réflexes
L'entreprise se doit d'avoir les bonnes pratiques en matière de cybersécurité :
- Procéder aux mises à jour de ses antivirus et logiciels
- Utiliser des mots de passe complexes et les changer régulièrement
- Opter pour le chiffrement des données dans certaines situations
- Faire des sauvegardes régulières
- Sécuriser ses appareils mobiles
- ...
Pour plus d'informations, rendez-vous sur le site de cybermalveillance.gouv.fr
Les failles de sécurité ont également des conséquences pour ceux qui ont confié des données personnelles à l'entreprise : elle doit avoir à l’esprit les conséquences pour les personnes de la perte, la divulgation, la modification non souhaitée de leurs données, et prendre les mesures nécessaires pour minimiser ces risques.
Pour évaluer le niveau de sécurité des données personnelles dans l'entreprise, voici quelques questions à se poser :
- Les comptes utilisateurs internes et externes sont-ils protégés par des mots de passe d’une complexité suffisante ?
- Les accès aux locaux sont-ils sécurisés ? Des profils distincts sont-ils créés selon les besoins des utilisateurs pour accéder aux données ?
- Y a-t-il une procédure de sauvegarde et de récupération des données en cas d’incident ?
Signaler à la CNIL les violations de données personnelles
Si une entreprise a subi une violation de données (des données personnelles ont été, de manière accidentelle ou illicite, détruites, perdues, altérées, divulguées ou il y a eu un accès non autorisé à des données), elle
Conclusion
En résumé, gérer les données à caractère personnel est crucial pour l'entreprise. De la constitution d'un registre à la sécurité des données, cet article offre des outils pratiques pour répondre aux normes du RGPD. En suivant ces directives, l'entreprise renforce la confiance de ses clients et sécurise ses relations.
Pour aller plus loin
La CNIL propose « L'atelier RGPD », une formation en ligne gratuite, illimitée et ouverte à tous (Mooc).