Le RGPD : Passage en revue, deuxième partie
Dans cet article, nous poursuivons notre explication du RGPD ! Tout d’abord, il est primordial de comprendre certains concepts afin de mieux vous orienter dans ces nouvelles mesures. Le RGPD et les données personnelles, explication !
Qu’est ce qu’une donnée personnelle ?
Les données personnelles
Les données personnelles constituent des informations se rapportant à une personne physique identifiée ou identifiable.
Cela veut donc dire qu’elle peut s’identifier:
- Directement (nom, prénom, …) ;
- Ou bien indirectement (identifiant n°client, n° de téléphone, données biométriques, description physique, voix, image, …).
On peut réaliser l‘identification physique d’une personne :
- à partir d’une seule donnée (n° de sécu par exemple, ADN, …) ;
- à partir du croisement d’un ensemble de données.
Le traitement de données personnelles
Il s’agit d’une opération concernant des données personnelles, qu’importe le procédé concerné : collecte, enregistrement, organisation, conservation, modification, extraction, communication, …)
En revanche, un fichier recelant seulement de coordonnées d’entreprise ne constitue pas un traitement de données personnelles. Et celui ci n’est pas nécessairement informatisé, si les données personnelles sont stockées sur papier, ces documents devront tout autant être protégées.
Cependant le traitement de données doit être inscrit dans un objectif général. Cela signifie que vous ne pouvez récupérer des données sans but juste dans l’idée que cela vous servirait plus tard. Chaque traitement de données personnelles doit s’assigner à un objectif, qui se doit évidemment d’être légal et légitime vis à vis de votre activité.
Les 4 points cruciaux à maîtriser pour être en conformité avec le RGPD
1. Le recensement de fichiers
Votre registre rassemblant vos données vous permet d’avoir une vision d’ensemble. Tout d’abord, identifiez les principales activités de votre entreprise ayant recours à la collecte et au traitement de ces données (recrutement, formation, statistiques des ventes, …). Appuyez vous sur l’exemple de registre que la CNIL a pu publier sur son site web.
Dans votre registre, établissez une fiche pour chaque activité recensée, précisant :
- L’objectif poursuivi (la finalité – fidélisation client par exemple) ;
- Les catégories de données utilisées (par exemple nom, prénom, date naissance, salaire pour la paie) ;
- Qui a accès à ces données (destinataire) ;
- La durée de conservation de ces données (durée d’utilité de ces données et durée archives).
C’est le dirigeant qui est responsable de ce registre, c’est donc à lui de s’entretenir avec quiconque doit travailler avec ses données afin de s’assurer de le tenir à jour.
Vous n’êtes en revanche pas dans l’obligation de mentionner dans ce registre les traitement occasionnels (inauguration d’une boutique par exemple).
En le constituant et en vous occupant de sa tenue, vous aurez ainsi une meilleure vision de vos traitements de données.
2. Un tri récurrent dans vos données
A chaque création de fiche, vous aurez besoin de vérifier :
- de la nécessité pour votre activité de ces nouvelles données traitées ;
- de l’absence de « sensibilité » de ces données (sauf si vous avez le droit de les traiter) ;
- du seul accès à ces données par les personnes habilités à les traiter ;
- de la non conservation de ces données au delà de la durée nécessaire.
Vous en profiterez pour améliorer vos process ! Minimisez la collecte de ces données tout d’abord ! C’est à dire éliminez les informations inutiles ou dépassées de vos formulaires de collecte et de vos bases de données. Réévaluez qui a accès à ces données et posez des règles d’effacement et d’archivage au bout d’un certain moment. N’hésitez pas à communiquer sur le sujet et échanger avec d’autre entrepreneurs de votre secteur afin d’appréhender au mieux le RGPD.
3. Le respect des données personnelles et de leurs détenteurs
Dès lors que vous récoltez des informations, votre formulaire doit le préciser.
Votre mention d’information doit comporter ces éléments :
- Le pourquoi vous collectez ces données personnelles (finalité) ;
- L’autorisation vous permettant de le faire (fondement juridique, qui ou quelle loi vous y autorise) ;
- Qui a accès aux données (le nom des services) ;
- Combien de temps elles restent conservées ;
- Comment les personnes concernées peuvent faire valoir leurs droits (via espace perso, mail, …).
Le RGPD renforce les droits des personnes dont les données sont traitées, permettez leur donc d’exercer facilement ces droits (accès, rectification, opposition, effacement, portabilité, limitation, …). Simplifiez encore plus les choses si vous proposez des créations d’identifiants. Et ce avec des délais courts (1 mois maximum). Si vous additionnez bien ces divers éléments, cela permettra de renforcer la confiance relation-client, vous met à l’abri de critiques sur les réseaux sociaux et des réclamations de la CNIL.
4. La sécurisation des données personnelles
Minimisez les risques de pertes de données ou de leur piratage en prenant certaines mesures. Toutes ces mesures dépendent de la sensibilité des données que vous accumulez et des risques pesant sur vos utilisateurs si incident. Vous devrez ainsi régulièrement mettre à jour vos antivirus, logiciels, mots de passe, voire même chiffrement de données. Ainsi, si vol ou perte de matériel, vos données seront préservées des regards malveillants. NB : Si vos utilisateurs n’activent jamais la fonction « mot de passe oublié », c’est que le niveau de protection n’est surement pas assez exigeant !
Posez vous certaines questions :
- Les mots de passe, internes comme externes, sont il assez complexes et sécurisés ? ;
- Les accès aux locaux sont ils sécurisés ? ;
- Existe il divers profils pour un utilisateur selon ses besoins ? ;
- Existe il une procédure de sauvegarde ou de récupération des données ?
Éventuellement, souscrivez à une assurance couvrant ce genre de risques.
Si il vous arrive un problème, alors signalez à la CNIL les éventuelles violations de données personnelles dans les 72 heures si il existe un risque pour les droits et libertés des personnes concernées. En cas de risques élevés pour les utilisateurs, vous serez alors dans l’obligation de les informer. Cependant, n’oubliez pas que certaines arnaques existent dans ce domaine de la protection des données, soyez donc vigilants !
En espérant que le RGPD et les lois concernant les données personnelles vous paraissent moins complexe désormais, à bientôt avec Dougs !