Cabinet Legrand
15, rue de la Demi-Lune
86000 Poitiers
Tél. 05 49 60 20 60
Fax : 05 49 60 34 01
legrand@wanadoo.fr







    ARCHIVES >  INFORMATIQUE

 
RGPD : comment se mettre en conformité ?
Le règlement européen sur la protection des données (RGPD) est entré en vigueur le 25 mai dernier. Ce texte renforce les droits des personnes « fichées », mais introduit également une plus grande responsabilité des entreprises sur les conditions de recueil des données personnelles, leur gestion et leur sécurité. Présentation des grands principes du RGPD et de la marche à suivre pour les appliquer.
Domaine d’application de la réforme

Le règlement européen RGPD concerne toutes les structures qui collectent et traitent des données personnelles.

Les entreprises concernées

Tout organisme (entreprise, association…), privé ou public, est tenu d’appliquer le RGPD dès lors qu’il collecte ou traite des données personnelles pour son compte ou pour celui d’un tiers. Aucun autre critère, comme l’effectif ou encore le chiffre d’affaires, n’entre ici en ligne de compte. Toutes les entreprises sont donc concernées, ou potentiellement concernées, y compris les plus petites.

Les données personnelles

Une donnée personnelle est une information qui permet, à elle seule ou en la croisant avec d’autres données, d’identifier une personne soit directement (nom, prénom), soit indirectement (téléphone, courriel, adresse, photo, voix, caractéristiques sociales ou physiques, empreintes, ADN…). Dès lors qu’il regroupe ce type d’informations, un fichier (papier ou numérique) est considéré comme un traitement de données personnelles et doit ainsi être constitué et géré conformément au RGPD.

Recenser l’existant…

Pour se mettre en conformité avec le RGPD, les entreprises doivent commencer par recenser leurs fichiers contenant des données personnelles.

Pour se mettre en conformité, le premier travail consiste à recenser l’existant. Ainsi existe-t-il sans doute dans votre entreprise des fichiers de données personnelles tels que nous venons de les définir (fichiers clients, prospects, fournisseurs, employés, fichiers paie, formations, gestion des accès…). Tous doivent être recensés dans un registre. Registre dans lequel, pour chaque traitement, doivent être renseignés sa finalité, le type de données personnelles présentes (noms, salaires, adresses…), les personnes ou les services qui peuvent y accéder et enfin la durée de conservation de ces données.

Important : des modèles de registres sont téléchargeables sur le site de la Cnil ( www.cnil.fr ). Plus largement, la Cnil, l’organisme de contrôle de la gestion des données personnelles, a édité des fiches techniques et un guide afin d’aider les entreprises à entamer une démarche de mise en conformité avec le RGPD.

… pour identifier les actions à mener

Responsables des fichiers de données personnelles qu’elles détiennent, les entreprises doivent gérer les traitements de ces données de façon raisonnée.

Le principe du RGPD consiste à responsabiliser les détenteurs de fichiers. Il vous revient donc, en tant que chef d’entreprise, d’adopter une approche raisonnée de ces traitements et de leur gestion. Sachant que les données personnelles ne doivent pas être conservées au-delà de ce qui est nécessaire. Pour chacun des traitements mis en œuvre dans votre entreprise, vous devez donc vous poser les questions suivantes :

Mon entreprise a-t-elle besoin de ces informations ?

Il est possible que vous ayez créé des fichiers il y a quelques années dans un objectif qui n’est plus d’actualité (liste de prospects pour le lancement d’une activité abandonnée...). Si c’est le cas, vous n’avez plus besoin de ces traitements. Supprimez-les.

Vous devez également vérifier que chaque type d’information recueilli pour le traitement est absolument nécessaire (par exemple, est-il pertinent de connaître le nombre d’enfants de chaque salarié si aucun avantage salarial n’est attaché à cette information ?). Si ce n’est pas le cas, supprimez les types de données non pertinents.

Enfin, vous devez faire en sorte que vos fichiers soient mis à jour régulièrement. Autrement dit, que les données qui n’ont plus rien à y faire soient supprimées : données relatives à d’anciens clients dans une base clients, informations dont la durée de conservation est dépassée…

Qui accède à ces données ?

Seules les personnes habilitées doivent pouvoir accéder aux données personnelles. Vous devez donc veiller à les compartimenter (les mettre sous clé s’il s’agit d’informations papier, ou sur un espace à accès restreint lorsqu’elles sont numériques).

Ces informations sont-elles protégées ?

Vous êtes responsable des données personnelles que vous hébergez ou que vous faites héberger par un prestataire. Vous devez donc prendre les mesures nécessaires pour minimiser les risques d’atteinte à leur intégrité et à leur confidentialité. Ainsi, pour chaque traitement, il vous faut évaluer le niveau de sécurité existant (complexité des mots de passe, performance et mise à jour des antivirus, politique de chiffrement, sécurité des locaux, politique de sauvegarde…) et, le cas échéant, le rehausser.

Et attention, avant de lancer un traitement, lorsque les données traitées (ethniques, religieuses, génétiques…) ou l’objectif du traitement (notation des personnes, télésurveillance, traitement relatif à des personnes vulnérables…) sont dits « sensibles », il peut être nécessaire de respecter une démarche particulière (PIA : Privacy Impact Assessment). N’hésitez pas, dans ce cas, à vous rapprocher de la Cnil.

Attention : si, accidentellement ou de manière illicite, votre entreprise est victime d’une violation de données personnelles (données détruites, perdues ou divulguées) et que cette violation est susceptible de présenter un risque pour les droits des personnes concernées, vous devez le signaler à la Cnil dans les 72 heures.

Désigner un DPO

Lorsque la situation est complexe, la Cnil conseille de désigner un délégué à la protection des données (DPO), qui peut être un collaborateur ou un prestataire, et qui peut être mutualisé entre plusieurs entreprises. Le DPO est là pour conseiller le chef d’entreprise sur ses obligations légales en matière de protection des données, contrôler le respect de la réglementation, mais aussi coopérer avec la Cnil. Mais seuls les organismes qui opèrent des traitements à risques ont l’obligation d’en désigner un. Plus précisément, l’article 37 du RGPD impose la désignation d’un DPO lorsque :

- le traitement est effectué par une autorité publique ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle ;

- les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées ;

- les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données visées à l’article 9 et de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10 du RGPD.

Respecter les droits des personnes fichées

Les entreprises doivent respecter les droits des personnes fichées et les informer de ces droits et des moyens pour les exercer.

Les personnes « fichées » ont des droits sur leurs données. Droits que vous devez respecter tant lors de la création qu’au cours de la gestion du traitement.

Ainsi, lorsque vous collectez des données personnelles, vous devez informer les personnes concernées de la finalité du traitement, de la raison de ce recueil de données et du délai pendant lequel elles seront conservées, leur préciser les personnes qui auront accès à ces données (service, prestataire…) et leur indiquer les modalités d’exercice de leurs droits (via une messagerie, un espace dédié sur un site…).

Parmi ces droits figurent, notamment, un droit d’accès leur permettant de connaître l’ensemble des données les concernant, un droit de rectification (permettant de les corriger), un droit d’opposition et d’effacement (lorsque le fichier n’est pas obligatoire) ou encore un droit à la portabilité (afin, par exemple, de transférer les données à un autre prestataire). Il vous revient donc de mettre en place un processus offrant à ces personnes la possibilité d’exercer leurs droits simplement et rapidement.

Pour permettre aux personnes (clients, prospects) dont vous traitez les données d’exercer leurs droits, vous pouvez par exemple prévoir un formulaire de contact spécifique sur votre site Internet ou mettre en place un numéro de téléphone ou une adresse de messagerie dédiée.

Attention : le règlement RGPD ne renforce pas seulement les obligations qui pèsent sur les gestionnaires de fichiers. Il prévoit également un durcissement des sanctions. Ainsi, en cas de manquement grave, une amende pouvant aller jusqu’à 20 M€ ou 4 % du chiffre d’affaires réalisé pourra être infligée. Sachez néanmoins qu’en ces premiers mois d’application, la Cnil devrait être clémente avec les entreprises contrôlées dès lors qu’elles auront entamé leur processus de mise en conformité.

Article du 01/06/2018 - © Copyright Les Echos Publishing - 2017

haut de page




Archives...
 INFORMATIQUE

Cybersécurité : la menace reste d’actualité
08/03/2024
Les Français partagés sur les impacts de l’IA sur le travail
19/01/2024
TPE-PME : le point sur leur digitalisation
24/11/2023
Zones blanches : la solution de l’internet par satellite
13/10/2023
Nom de domaine : comment le choisir et l’enregistrer ?
08/09/2023
Sachez tirer profit des réseaux sociaux
07/07/2023
Rançongiciels : ne baissez pas la garde !
02/06/2023
Comment déjouer les tentatives de fraude ?
28/04/2023
Arnaques par SMS : restez vigilant !
24/03/2023
ChatGPT : pourquoi tout le monde en parle ?
06/01/2023
Vélos et trottinettes électriques : le point sur le Code de la route
25/11/2022
Mots de passe : quelle politique mettre en place ?
02/09/2022
Plongée dans l’univers du métavers
01/07/2022
Retour sur la sauvegarde des données de l’entreprise
22/04/2022
Le renforcement de la protection contre les cyberattaques
18/03/2022
Les NFT revisitent la propriété numérique
11/02/2022
Voiture de fonction : faut-il passer à l’électrique ?
10/12/2021
Zoom sur la crise des semi-conducteurs
05/11/2021
Comprendre le bitcoin en 7 questions/réponses
20/08/2021
Comment prévenir et déjouer les cyberattaques ?
18/06/2021
Reprendre la main sur sa boîte de réception
16/04/2021
Bénéficier d’une meilleure connexion grâce aux répéteurs Wi-Fi
05/03/2021
5 questions pour bien comprendre les enjeux de la 5G
29/01/2021
Retour sur TousAntiCovid et ses concurrentes européennes
11/12/2020
TikTok, le réseau social qui séduit les jeunes et dérange les États
23/10/2020
Visioconférence : quelles solutions pour les professionnels ?
21/08/2020
Zoom sur les traducteurs automatiques
06/03/2020
Faire jouer son droit à l’oubli numérique
10/01/2020
Zoom sur le matériel informatique tout-terrain
31/10/2019
Limiter l’impact écologique des impressions et des e-mails dans les entreprises
04/10/2019
Les podcasts séduisent le public et les entreprises
30/08/2019
Peut-on encore téléphoner au volant ?
28/06/2019
Recourir aux gestionnaires de mots de passe
26/04/2019
Vendre ses produits grâce à Pinterest
08/02/2019
Les voitures électriques en 5 idées reçues
04/01/2019
Aller au bureau à vélo électrique
28/09/2018
RGPD : comment se mettre en conformité ?
01/06/2018
Droit à l’oubli numérique : comment agir ?
18/05/2018
LinkedIn, le réseau social des professionnels
06/04/2018
Optimiser la couverture mobile dans l’entreprise
09/03/2018
Avis des consommateurs : de nouvelles règles de publication
02/02/2018
Imprimer un document à partir de son smartphone
17/11/2017
Les produits reconditionnés ont le vent en poupe
08/09/2017
Planifier ses réunions grâce à Doodle et à ses concurrents
30/06/2017
Qwant, un moteur qui respecte la vie privée
02/06/2017
Coup d’œil sur les serrures biométriques
05/05/2017
Mots de passe : les conseils de la Cnil
03/03/2017
Faire face aux cyberattaques
13/01/2017
Un point sur l’iPhone 7
11/11/2016
Passer à la visioconférence
14/10/2016
Comment réagir face à un bad buzz ?
09/09/2016
Le Bon Coin : l’inattendu poids lourd du recrutement en ligne
08/07/2016
Protéger les données de son smartphone
03/06/2016
Page pro sur Facebook : par où commencer ?
08/04/2016
Comment rédiger un tweet efficace
04/03/2016
Instagram : communiquer avec des images
08/01/2016
Edge : le nouveau navigateur de Microsoft
11/12/2015
Êtes-vous esclaves des e-mails ?
06/11/2015
Votre site est-il « mobile friendly » ?
02/10/2015
Comment bien utiliser les réseaux sociaux
28/08/2015
Cybercriminalité : comment se préserver
12/06/2015
Stratégie SEO : le poids des noms de domaine
03/04/2015
Big data : une révolution numérique
06/02/2015
Les drones s’invitent dans les entreprises
09/01/2015
Vol de téléphones portables
28/11/2014
Dites-le avec une infographie
24/10/2014
Les Mooc, outils de formation en ligne des salariés
26/09/2014
Transport de données : quel support choisir ?
29/08/2014
Améliorer la visibilité d’un site grâce au SEO
14/05/2014
Pourquoi utiliser Twitter ?
02/04/2014




© 2009-2024 - Les Echos Publishing - mentions légales et RGPD