COMMENT SAVOIR SI VOUS ÊTES CONFORME RGPD ?
«RGPD » signifie « Règlement Général sur la Protection des Données ». Il encadre le traitement des données personnelles au sein de l’Union Européenne.
CONFORMITÉ AU RGPD
L’employeur, pour respecter le RGPD, doit désigner un Délégué à la protection des données ou autrement dit un DPO.
Un DPO a pour mission d’être l’interlocuteur au sein de son entreprise, de manière indépendante, pour répondre aux questions sur les sujets « informatiques et libertés ».
Les autorités et organismes publics sont dans l’obligation de désigner un DPO. Dans le secteur privé, cette désignation n’est pas toujours obligatoire. Pour ce qui est des petites entreprises, cet interlocuteur est souvent l’employeur même.
Auprès de votre DPO, vous pouvez :
- Vous assurez que les fichiers traitant de données personnelles sont bien inscrits dans le « Registre des activités de traitement ». Pour les organisations du secteur public, le registre doit être communiqué au grand public tandis que cette communication n’est pas obligatoire pour les entreprises du secteur privé.
- Exercez vos droits « informatiques et libertés » et connaitre les données personnelles vous concernant
- Connaître les diverses conditions dans lesquelles vos données personnelles sont traitées au sein de votre société. De plus, vous devez être informé de ces conditions et de vos droits “de façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples”.
CONSTITUEZ UN REGISTRE DE VOS TRAITEMENTS DE DONNÉES
Cette étape permet d’avoir une vision d’ensemble sur vos traitements de données personnelles. Attention les règles de traitement différent selon si vous travaillez en B2C ou B2B !
Pour cela, il est nécessaire d’identifier les activités principales de votre entreprise utilisant des données personnelles. Il existe un modèle de registre pour s’appuyer dessus (https://www.cnil.fr/fr/RGDP-le-registre-des-activites-de-traitement)
Ce registre est placé sous la responsabilité du dirigeant de l’entreprise.
Pour avoir un registre exhaustif et à jour, il faut en discuter et être en contact avec toutes les personnes de l’entreprise susceptibles de traiter des données personnelles : Service RH, Service Achat, Service Commercial …. De nombreux services utilisent des données personnelles d’interlocuteurs de l’entreprise, sans nécessairement en avoir conscience !
FAITES LE TRI DANS VOS DONNÉES
Il est important de suivre un certain processus pour chaque fiche de registre créée :
- Les données traitées sont nécessaires aux activités de l’entreprise et non intrusives.
- Les données “sensibles” ne doivent pas être traitées ou si c’est le cas, il est nécessaire de vérifier si vous en avez le droit.
- Seules les personnes habilitées ont accès aux données dont elles ont besoin ; vous ne conservez pas vos données au-delà d’une période jugée nécessaire.
RESPECTEZ LES DROITS DES PERSONNES
INFORMER LES PERSONNES
À chaque fois que vous collectez des données personnelles, le support utilisé (formulaire, questionnaire, etc.) doit comporter des mentions d’information.
Vérifiez que l’information comporte les éléments suivants :
- La finalité de votre collecte de données
- Le fondement juridique qui vous autorise à traiter ces données
- Qui a accès aux données
- Combien de temps vous les conservez
- Les modalités selon lesquelles les personnes concernées peuvent exercer leurs droits
- Si vous transférez des données hors de l’UE (précisez le pays et l’encadrement juridique qui maintient le niveau de protection des données). Attention lorsque vous utilisez des solutions en mode SAAS qui stockent leurs applications sur des serveurs dont la localisation n’est pas précisée
À l’issue de cette étape, vous avez répondu à votre obligation de transparence.
PERMETTRE AUX PERSONNES D’EXERCER FACILEMENT LEURS DROITS
Les personnes dont vous traitez les données (clients, collaborateurs, prestataires, etc.) ont des droits sur leurs données : droit d’accès, de rectification, d’opposition, d’effacement, à la portabilité et à la limitation du traitement.
Vous devez leur donner les moyens d’exercer leurs droits. Si vous disposez d’un site web, prévoyez un formulaire de contact spécifique, un numéro de téléphone ou une adresse de messagerie dédiée. Si vous proposez un compte en ligne, donnez à vos clients la possibilité d’exercer leurs droits à partir de leur compte.
Mettez en place un processus interne permettant de garantir l’identification et le traitement des demandes dans des délais courts (1 mois au maximum).
SÉCURISEZ VOS DONNÉES
Il est important de prendre en compte les mesures nécessaires pour sécuriser les données, car le risque zéro n’existe pas en informatique.
Cela vous permet aussi de protéger votre patrimoine de données en réduisant les risques de pertes de données ou de piratage.
Les mesures à prendre, informatiques ou physiques, dépendent de la sensibilité des données que vous traitez et des risques qui pèsent sur les personnes en cas de d’incident.
Il existe de nombreux réflexes/bonnes pratiques à mettre en place :
• Mettre à jour vos antivirus et logiciels
• Bien choisir ses mots de passe
• Chiffrer ses données dans certaines situations et faire des sauvegardes.
Pour être conforme au RGPD il est important de suivre plusieurs règles afin de protéger les données de vos collaborateurs, salariés et clients. Nos petites lucioles Flutilliant dans le cadre de l’Observatoire de la Maturité Data des Entreprises, travaillent avec DPO Consulting, sur le sujet RGPD. DPO Consulting vous aide à mettre votre entreprise en conformité avec le RGPD en valorisant votre patrimoine informationnel. Découvrez en plus ici
DÉCOUVRIR D’AUTRES SUJETS QUI POURRAIENT M’INTÉRESSER
DE LA DATA DANS VOTRE BOITE MAIL
Vous souhaitez être averti de la publication de nos articles ?
Inscrivez-vous dès maintenant à notre newsletter pour en savoir plus sur le monde de la data et être informé de notre actualité !
CONTACTEZ-NOUS
12 Rue Louis Courtois de Viçose - Portes Sud, Les Arches, Bâtiment 3, 31100 Toulouse
06.31.71.94.99
contact@flutilliant.com