Le Règlement Général à la Protection des Données (RGPD) est une nouvelle règlementation européenne qui est entrée en vigueur le 25 mai. Cette nouvelle loi représente de nouveaux droits pour les individus et de nouvelles obligations pour les entreprises. Son principal objectif est de faire respecter le droit à la protection des données à caractère personnel.
Qu’est-ce qu’une donnée personnelle ?
Est considérée comme « donnée » à protéger, toute information qui permettrait d’identifier une personne physique, directement ou indirectement. Il peut s’agir d’un nom, d’une photographie, d’une adresse IP, d’un numéro de téléphone, d’un identifiant de connexion informatique, d’une adresse postale, d’une empreinte, d’un enregistrement vocal, d’un numéro de sécurité sociale, d’un mail, etc.
De surcroît, certaines données sont dites « sensibles » car elles touchent à des informations qui peuvent être discriminantes : politique, religion, orientation sexuelle, situation médicale…
En quoi sommes-nous tous concernés ?
Contrairement à ce qu’on pourrait penser, il n’y a pas que les plateformes telles que Facebook, Uber ou encore Airbnb qui sont concernées par cette règlementation. Même les plus petites structures – petite ou grande entreprise, collectivité, association – collectent, font circuler et stockent des données personnelles qu’il faut veiller à protéger. Quels que soient la taille et le secteur d’activité, toute organisation manipulant les données personnelles des Européens est concernée. Après le 25 mai, tout traitement en infraction avec le RGPD pourra déboucher sur des sanctions.
Comment se conformer à la loi ?
1 – Constituez un registre de vos traitements de données
Il s’agit d’établir un document permettant de recenser toutes les données collectées et leurs usages. Listez toutes les actions qui font l’objet d’une base de données, par exemple :
– RH (recrutement, paye, formation),
– ventes ( devis, factures, répertoire des clients et prospects),
– autorisations (badges et accès),
– etc.
Pour chaque activité recensée, il vous faudra préciser :
– L’objectif de la collecte (exemple : la fidélisation client),
– les catégories de données utilisées (exemple : nom, prénom, date de naissance, RIB),
– qui a accès aux données (exemple : service informatique + service marketing),
– la durée durant laquelle les données sont utiles d’un point de vue opérationnel et la durée de conservation en archives.
Ce registre doit être archivé de façon sécurisée et doit pouvoir être communiqué à la CNIL sur demande (dans le cadre de sa mission de contrôle des traitements de données). Pour aller plus loin, consultez le site de la CNIL ici.
2 – Informez les personnes
Pour toutes les données déjà collectées et pour les collectes à venir, il s’agit maintenant de répondre à un objectif de transparence vis-à-vis des personnes concernées.
Vous pouvez par exemple, sur le formulaire de contact de votre site web, ajouter une mention d’information renvoyant à vos mentions légales. Celles-ci auront été complétées par un texte descriptif de votre politique de confidentialité. La CNIL propose des modèles de mentions légales, que vous pouvez consulter ici.
Vous devez par ailleurs obtenir le consentement explicite des personnes pour l’utilisation de leurs données personnelles et conserver la preuve de leur autorisation.
3 – Permettez aux personnes d’exercer leurs droits sur leurs données
Les personnes dont vous traitez les données ont des droits sur celles-ci : droit d’accès, de rectification, d’opposition, d’effacement, à la portabilité et à la limitation du traitement. Vous devez leur donner les moyens d’exercer effectivement leurs droits. Par exemple, si vous disposez d’un site web, prévoyez un formulaire de contact spécifique ou un numéro de téléphone.
4 – Sécurisez les données
Étant tenu à l’obligation légale d’assurer la sécurité des données personnelles que vous détenez, vous vous devez d’adopter de bonnes pratiques pour minimiser les risques de pertes de données, de divulgation ou de piratage. Les mesures à prendre, dépendent de la sensibilité des données que vous traitez et des risques qui pèsent sur les personnes en cas d’incident. Différents réflexes peuvent être mis en place : mises à jour de vos antivirus et logiciels, changement régulier des mots de passe et utilisation de mots de passe complexes, ou chiffrement de vos données dans certaines situations. En cas de perte ou vol d’un outil informatique, il sera plus difficile pour un tiers d’y accéder. Pour aller plus loin, consultez la fiche « Sécurisation » de la CNIL.
Galago vous accompagne
Nous nous tenons à votre disposition pour évoquer avec vous votre cas particulier et définir les actions à engager pour vous mettre en conformité avec le RGPD.