4 étapes à suivre pour être en conformité avec le RGPD
Depuis l’entrée en vigueur du règlement général sur la protection des données le 25 mai 2018, vous devez être en capacité de prouver à chaque instant à la CNIL la conformité de votre entreprise aux prescriptions du RGPD. Voici quatre étapes essentielles à suivre pour normaliser les pratiques de votre société.
1- Mettez au point votre registre de traitement :
Imposé par le RGPD, ce registre a pour objectif de disposer d’une vision d’ensemble sur les données personnelles que vous manipulez ou stockez. Commencez par déterminer les activités de votre entreprise qui doivent être en conformité avec le RGPD, comme le recrutement, la gestion des accès aux postes informatiques ou de la paie…
Vous devez ensuite établir une fiche pour chacune de ses activités en précisant :
- La finalité de l’activité (par exemple fidéliser votre clientèle),
- Quelles sont les informations recueillies et leurs catégories (par exemple : l’état civil des personnes, le montant de la paie pour un salarié…),
- Le nom des personnes qui ont un accès aux données personnelles (exemple : DRH, prestataires de services, direction informatique…),
- La durée de stockage des données personnelles, tant pour réaliser le traitement que pour leur archivage.
Pensez à régulièrement mettre à jour ce registre, qui demeure de la responsabilité du chef de l’entreprise.
2- Faites un grand ménage dans vos données :
Profitez de la réalisation de votre registre de données personnelles pour vous interroger sur celles qui sont vraiment pertinentes pour votre entreprise. C’est ainsi que pour chacune des fiches que vous avez créées, vous devez contrôler que :
- Les données que vous manipulez sont strictement nécessaires aux activités de votre entreprise (par exemple, il ne sert à rien de demander à vos salariés s’ils ont des enfants alors que vous ne proposez ni service de crèche ni de primes liées à cet état familial). Profitez-en pour vérifier si vos formulaires de recueil des données comportent des informations inutiles et si oui, éliminez-les.
- Vous ne manipulez pas de données personnelles à caractère sensible et si vous vous rendez compte que c’est le cas, vérifiez que vous possédez le droit de les traiter.
- Seules certaines personnes ont accès aux données personnelles, pas dans leur ensemble, mais seulement à celles dont elles ont besoin. Définissez avec précision qui doit posséder ces accès.
- Vous ne stockez pas les données au-delà d’une durée réellement nécessaire. Pourquoi ne pas opter pour un effacement automatique après un certain temps ?
3- Contrôlez votre bon respect des droits des personnes
Le RGPD renforce le droit d’information des personnes, c’est pourquoi chaque fois que vous recueillez des données les concernant, vous devez vous assurez que le document utilisé à cette fin comporte :
- La finalité du recueil (par exemple le recueil d’une identité et d’une adresse pour pouvoir expédier une marchandise à un consommateur qui l’a commandée en ligne),
- Le fondement juridique du recueil : intérêt légitime, consentement de la personne aux CGV…,
- Les départements qui ont accès aux données (RH, service informatique…),
- La durée de conservation des données,
- Les modalités d’exercice de leurs droits des personnes concernées par le traitement (en vous envoyant un mail, un courrier, sur votre site…),
- Si les données que vous collectez peuvent être transférées hors de l’UE et dans ce cas précisez vers quel pays et la manière dont vous leur assurez le même niveau de protection qu’en UE.
Les personnes disposent désormais d’un droit d’accès, de rectification, d’opposition, d’effacement, à la portabilité et à la limitation du traitement, et vous devez leur fournir la possibilité de les exercer, à l’aide par exemple d’un formulaire de contact dédié, d’un numéro de téléphone ou d’une adresse mail spécifique.
4- Assurez la sécurité de vos données
Le RGPD fait peser sur votre entreprise le principe de responsabilisation, c’est pourquoi vous devez prendre vos dispositions pour garantir une sécurité maximale des données personnelles, même si le risque zéro n’existe pas. Vous minimiserez les risques de fuites de données et de piratage en prenant des réflexes simples : changement régulier des mots de passe, qui doivent être complexes, mises à jour fréquentes de vos logiciels et des antivirus ou encore chiffrement des données.
Ainsi, pour déterminer évaluer le niveau de sécurité de votre entreprise dans la gestion des données personnelles, demandez-vous si :
- Les comptes d’utilisateurs, qu’ils soient internes ou externes, sont-ils protégés par des mots de passe suffisamment complexes ?
- Les accès aux locaux de votre entreprise et à ses points sensibles sont-ils sécurisés ?
- En cas d’incident, disposez-vous d’une procédure de sauvegarde et de récupération des données ?
Si votre entreprise est victime d’une violation accidentelle ou illégale de données personnelles, qui ont pu être détruites, perdues, altérées, divulguées, vous êtes dans l’obligation de la signaler sur le site Internet de la CNIL dans les 72 heures. De la même manière, si cette violation risque d’avoir des conséquences sur les droits et libertés des personnes concernées, vous devrez les en informer.