Toutes les entreprises sont concernées par le RGPD (Règlement Général sur la Protection des Données), les TPE également si elles collectent, stockent ou utilisent des données à caractère personnel.
Une donnée personnelle, c’est une information qui permet d’identifier une personne physique (nom, prénom, mais également N° client, numéro de téléphone, adresse de livraison ou de facturation…). Pour votre activité, vous traitez certainement des informations concernant vos clients et/ou vos fournisseurs et vos salariés, vous êtes donc concernés.
Voici les principales actions à mettre en œuvre :
Vous devez tenir un registre listant le type de donnée et le traitement effectué. Dans votre registre, créez une fiche pour chaque activité recensée, en précisant :
- l’objectif poursuivi (la finalité - exemple : la fidélisation client) ;
- les catégories de données utilisées (exemple pour la paie : nom, prénom, date de naissance, salaire, etc.) ;
- qui a accès aux données (le destinataire - exemple : service chargé du recrutement, service informatique, direction, prestataires, partenaires, hébergeurs) ;
- la durée de conservation de ces données (durée durant laquelle les données sont utiles d’un point de vue opérationnel, et durée de conservation en archive).
Le registre est placé sous la responsabilité du dirigeant de l’entreprise.
Vous n’avez pas en revanche à mentionner au registre les traitements purement occasionnels (exemple : fichier constitué pour une opération événementielle ponctuelle comme l’inauguration d’une boutique).
En constituant votre registre, vous aurez une vision d’ensemble sur vos traitements de données.
Vous pouvez vous appuyer sur le modèle de registre proposé par la CNIL
Vous ne devez collecter que ce qui est nécessaire à votre activité.
Un traitement de données doit avoir un objectif, une finalité, c’est-à-dire que vous ne pouvez pas collecter ou traiter des données personnelles simplement au cas où cela vous serait utile un jour. À chaque traitement de données doit être assigné un but, qui doit être légal et légitime au regard de votre activité professionnelle.
Informez les personnes : à chaque fois que vous collectez des données personnelles, le support utilisé (formulaire, questionnaire, etc.) doit comporter des mentions d’information. Exemples de mentions d'information
Permettez aux personnes d’exercer facilement leurs droits : les personnes dont vous traitez les données (clients, collaborateurs, prestataires, etc.) ont des droits sur leurs données, qui sont d’ailleurs renforcés par le RGPD : droit d’accès, de rectification, d’opposition, d’effacement, à la portabilité et à la limitation du traitement.
Vous devez garantir la sécurité des données que vous possédez en minimisant le risque de perte de données ou de piratage. (mise à jour de vos antivirus et logiciels, changement régulier des mots de passe et utilisation de mots de passe complexes, ou chiffrement de vos données dans certaines situations…)
Si votre entreprise a subi une violation de données (des données personnelles ont été, de manière accidentelle ou illicite, détruites, perdues, altérées, divulguées ou vous avez constaté un accès non autorisé à des données) ? Vous devez la signaler à la CNIL dans les 72 heures si cette violation est susceptible de représenter un risque pour les droits et libertés des personnes concernées. Cette notification s’effectue en ligne sur le site internet de la CNIL. Si ces risques sont élevés pour ces personnes, vous devrez les en informer.
Si besoin (sinistre, attaque informatique…), le gouvernement met à disposition le site https://www.cybermalveillance.gouv.fr pour assister les victimes d’actes de cybermalveillance.
Attention, des entreprises peuvent vous démarcher en vous proposant des solutions payantes pour vous mettre en règle. Ne cédez à aucune pression. Nous pouvons répondre gratuitement à toutes vos interrogations si un doute subsiste.
Article d'Avisé Info