RGPD : les 4 premières étapes essentielles !

4 actions principales sont à mener pour entamer et maintenir sa mise en conformité avec les règles de protection des données.

  1. Constituez un registre de vos traitements de données.
  2. Faites le tri dans vos données.
  3. Respectez les droits des personnes.
  4. Sécurisez vos données.

1️⃣Le registre des traitements de données.

Constituez votre registre et vous aurez une vision d’ensemble sur vos traitements de données. Identifiez les activités principales de votre entreprise qui utilisent des données personnelles.

Par exemple :

Le recrutement, la gestion de la paye, la formation, la gestion des badges et des accès, les statistiques de ventes, la gestion des clients prospects, …

Dans votre registre, créez une fiche pour chaque activité recensée, et précisez :

  • L’objectif poursuivi
  • La catégorie de donnée (civilité, donnée salariale, gestion de la paie,…)
  • Les personnes ou les services accédant a ces données (direction, RH, service informatique, prestataires, …)
  • La durée de conservation des ces données ( activité opérationnelle et archive)

Le registre est placé sous l’autorité du responsable de l’entreprise.

Pour un registre complet et a jour il est important d’auditer toute personne susceptible des traiter ces données.

2️⃣Faire le tri dans les données.

Pour chaque fiche de registre créée, vérifiez que :

  • Les données que vous traitez sont nécessaires pour votre activité. Inutile d’enregistrer le N° se sécurité sociale si vous n’offrez aucun service rattachée à cette caractéristique.
  • Vous ne traitez aucune donnée « sensible » et que si c’est le cas, que vous ayez bien le droit de les traiter .
  • Seules les personnes habilitées ont accès aux données dont elles ont besoin ;
  • Vous ne conservez pas vos données au-delà tu temps nécessaire.

3️⃣Respectez les droits des personnes.

** Information des personnes **

Le RGPD renforce l’obligation d’information et de transparence à l’égard des personnes dont vous traitez les données (Vos clients, vos prospects, vos collaborateurs, vos sous traitants, …)

À chaque collecte de données personnelles, le formulaire ou le questionnaire, doit comporter des mentions d’information.

Vérifiez que l’information comporte :

  • Pourquoi vous collectez les données « la finalité du traitement »
  • Ce qui vous donne le droit de traiter ces données, le « fondement juridique »
  • Qui accède aux données : les services internes compétents, un prestataire, …
  • Combien de temps vous conservez ces informations.
  • Les modalités selon lesquelles les personnes concernées peuvent exercer leurs droits.
  • Si vous transférez des données hors de l’UE (précisez !)

Pour éviter des mentions trop longues , vous pouvez donner un premier niveau d’information en fin de formulaire et renvoyer à une politique de confidentialité sur une page dédiée sur votre site internet.

Information des personnes

** Exercice des droits des personnes **

Les personnes qui vous ont confiés leurs données que vous traitez (clients, collaborateurs, prestataires, etc.) ont des droits sur ces données :

  • Des droits d’accès
  • Des droits de rectification
  • Des droits d’opposition
  • Des droits d’effacement
  • Des droits à la portabilité
  • Des droits à la limitation du traitement

Vous devez leur donner un moyen d’exercer effectivement leurs droits.

Si vous disposez d’un site web, mettez en place un formulaire spécifique, un numéro de téléphone, une adresse de messagerie dédiée.

Si vous proposez un compte en ligne, donnez à vos clients la possibilité d’exercer leurs droits à partir de leur compte.

Mettez en place un processus interne permettant de garantir l’identification et le traitement des demandes dans des délais courts (1 mois au maximum).

Exercice des droits des personnes

Bien traiter les demandes des utilisateurs quant à leurs données personnelles, c’est :

  • renforcer la confiance qui sécurise la relation-client ;👍
  • vous mettre à l’abri de critiques sur les réseaux sociaux, ou de plaintes auprès de la CNIL. 😉

4️⃣Sécurisez vos données.

Le risque zéro n’existe pas en informatique alors vous devez prendre toutes les mesures nécessaires pour sécuriser vos données et les données que vous ont confiés vos clients.

Protéger votre patrimoine de données réduit les risques de pertes de données ou de piratage.

Les mesures à prendre, informatiques ou physiques, dépendent de la sensibilité des données que vous traitez et des risques qui pèsent sur les personnes en cas de d’incident.

Des réflexes doivent être mis en place : mettre à jour de vos antivirus et logiciels, bien choisir ses mots de passe, chiffrer vos données dans certaines situations et faire des sauvegardes.

Les failles de sécurité ont également des conséquences pour ceux qui vous ont confié des données personnelles : Mais quelles conséquences pour les personnes et pour votre entreprise ?

Exemple 1 : vous êtes déménageur et vous vous déplacez au domicile de vos clients qui vous communiquent leur adresse précise et le code d’entrée de leur immeuble. Si ces informations sont piratées ou perdues, elles peuvent être utilisées pour s’introduire frauduleusement au domicile de votre client. Conséquence désastreuse pour vos clients, mais aussi pour vous !

Exemple 2 : Perte de confiance des clients : Si les données personnelles des clients sont exposées, cela peut entraîner une perte de confiance. Les clients peuvent hésiter à partager leurs informations à l’avenir, ce qui peut affecter la relation client-entreprise.

Exemple 3 : Sanctions légales et financières : Les entreprises sont tenues par la loi de protéger les données de leurs clients. En cas de fuite de données, elles peuvent être soumises à des amendes importantes, en particulier dans les régions où la protection des données est strictement réglementée, comme dans l’Union européenne avec le RGPD

Pour évaluer le niveau de sécurité des données personnelles dans votre entreprise, voici quelques questions importantes à vous poser :

  1. Quelles données sont collectées et stockées ? Il est important de comprendre quelles données personnelles votre entreprise collecte et stocke. Cela peut inclure des noms, des adresses, des numéros de téléphone, des adresses e-mail, etc.
  2. Où sont stockées les données ? Les données sont-elles stockées sur site, dans le cloud, ou les deux ? Chaque option a ses propres implications en matière de sécurité.
  3. Qui a accès aux données ? Seules les personnes qui en ont besoin pour effectuer leur travail devraient avoir accès aux données personnelles. Il est important de contrôler régulièrement les accès pour s’assurer qu’ils sont toujours appropriés.
  4. Comment les données sont-elles protégées ? Cela peut inclure des mesures de sécurité physiques (comme des serrures et des alarmes), des mesures de sécurité numériques (comme des pare-feu et des logiciels antivirus), et des mesures de sécurité organisationnelles (comme des politiques et des formations).
  5. Existe-t-il un plan de réponse aux incidents ? En cas de violation de données, il est important d’avoir un plan en place pour répondre rapidement et efficacement.
  6. Comment les données sont-elles supprimées ou détruites ? Les données personnelles doivent être supprimées ou détruites de manière sécurisée lorsqu’elles ne sont plus nécessaires.
  7. Les employés sont-ils formés à la sécurité des données ? Une formation régulière peut aider à prévenir les erreurs humaines qui peuvent conduire à des violations de données.

Ces questions peuvent vous aider à identifier les éventuelles lacunes dans la sécurité des données de votre entreprise et à déterminer les mesures à prendre pour les combler. Il peut également être utile de consulter un expert en sécurité des données ou un avocat spécialisé en droit de la vie privée pour obtenir des conseils spécifiques à votre situation.

Pour en savoir plus :

  • Guide des bonnes pratiques de l’informatique réalisé par l’ANSSI et la CPME
  • Guide sécurité des données personnelles de la CNIL

Au-delà du RGPD : L’approche assurantielle

Une démarche d’anticipation sur le niveau global de sécurité peut être complétée par une approche assurantielle. Renseignez vous auprès de ces professionnels sur le contenu possible des polices d’assurance (responsabilité civile, dommages couverts…) et surtout sur les services à l’assuré (notamment l’assistance en cas de sinistre, de gestion de crise…).

Signalez à la CNIL les violations de données personnelles

Si votre entreprise a subi une violation de données (des données personnelles ont été, de manière accidentelle ou illicite, détruites, perdues, altérées, divulguées ou vous avez constaté un accès non autorisé à des données) vous devez le signaler à la CNIL dans les 72 heures si cette violation est susceptible de représenter un risque pour les droits et libertés des personnes concernées.

Si ces risques sont élevés pour vos clients et/ou vos collaborateurs, vous devrez les en informer.

Ce sujet vous intéresse ? N’hésitez pas a vous exprimer dans les commentaires 👇

IRSM News

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *