Vous n’y aurez pas échappé, le nouveau Règlement Général sur la Protection des Données est entré en vigueur le 25 mai dernier avec son lot d’interrogations pour les entreprises.
L’objectif principal du RGPD est la définition d’un cadre juridique pour la gestion et le traitement des données personnelles dans toutes organisations publiques ou privées basées dans l’Union Européenne ou dont l’activité cible l’Union Européenne.
Cette règlementation vous concerne donc en tant que collaborateurs de TPE/PME.
A première vue le RGPD peut être considéré comme une contrainte supplémentaire sur les épaules des entreprises. Mais nous allons voir que vous pouvez mener des actions simples afin de vous conformer aux normes. Par ailleurs, celles-ci peuvent vous aider à améliorer votre maîtrise des données et donc à gagner en efficacité et en compétitivité. Vous ne devez pas considérer le RGPD comme un projet technico-juridique mais plutôt comme une amélioration de vos process et de votre organisation.
A. Quel type de données et de traitement cible le RGPD ?
Le RGPD a pour but d’encadrer la collecte et le traitement des « données personnelles ». Voyons de plus près à quoi cela correspond :
« Une donnée personnelle est « toute information » se rapportant à une personne physique identifiée ou identifiable.
1. Une personne peut être identifiée :
-Directement (nom, prénom)
-Indirectement (identifiant, téléphone, données biométriques, plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale, mais aussi la voix ou l’image)
2. L’identification d’une personne physique peut s’effectuer :
-A partir d’une seule donnée
-A partir du croisement d’un ensemble de données »
(Source : https://www.cnil.fr)
Référencement fournisseurs, fichier clients, contacts de prospects, informations sur les salariés… tous ces fichiers correspondent à du traitement de données personnelles.
Le RGPD exige qu’à tous ces traitements soit assignée une finalité légitime afin d’éviter les dérives de l’accumulation de données non utilisées.
En revanche, un fichier ne contenant que des données génériques d’entreprise (adresse postale, numéro du standard, email de contact générique) ne constitue pas un traitement de données personnelles.
B. Identifier, trier, informer, sécuriser : voici les 4 grandes actions à mener
Maintenant que vous avez identifié ce que représentent les données personnelles et leur traitement, voyons les quatre grandes actions à mettre œuvre dans votre projet RGPD.
1. Le recensement de vos fichiers concernés par le RGPD :
Vous devrez commencer par réaliser un travail d’identification des activités de votre entreprise qui exigent la collecte, le traitement et la conservation de données personnelles. Un mapping visuel de vos process peut être utile pour déterminer ces activités et les fichiers concernés. Visualisez les flux d’informations entrant dans votre entreprise, leurs traitements et identifiez leurs finalités. Cela vous aidera à réaliser ce travail.
Une fois ces activités identifiées vous devrez créer un registre (un modèle de registre est disponible sur le site de la CNIL) contant une fiche pour chacune d’entre elle en précisant :
- La finalité : (ex : référencement fournisseur)
- La catégorie de données utilisées : (ex : nom, prénom, sexe, entreprise)
- Qui utilise et a accès aux données : (ex : service informatique, fournisseurs, service marketing…)
- La durée de conservation : durée d’utilité opérationnelle et durée d’archive.
2. Triez vos données :
Une fois votre registre créé, il est nécessaire de vérifier les éléments suivant pour chaque fiche :
- Les données traitées sont nécessaires à votre activité.
- Traitez-vous des données dites « sensibles » ? Les cas échéants, en avez-vous bien le droit ?
- L’accès aux données est bien réservé aux personnes habilitées.
- Vous ne conservez pas vos données sur une période supérieure à leur utilité opérationnelle
3. Mette en place les process nécessaires pour respecter le droit des personnes
Vous avez un devoir d’information à l’égard des personnes dont vous collectez les données. Vos supports de collecte de données personnelles devront donc contenir des mentions d’informations avec a minima les informations suivantes :
- L’objectif poursuivi par votre collecte de données
- Ce qui vous y autorise (le fondement juridique)
- Qui utilise et a accès aux données
- Le temps de conservation
- Les modalités disponibles afin que les personnes concernées puissent exercer leurs droits (via espace personnel, email de contact dédié, un numéro de téléphone, courrier postal)
- Si vous transférez des données hors UE
Vous trouverez des exemples de mentions sur le site internet de la CNIL.
Vous devrez ensuite mettre en place les process offrant la possibilité aux personnes concernées d’exercer leurs droits : droits d’accès, d’opposition, de rectification, d’effacement, à la portabilité et à la limitation du traitement.
4. Sécurisez ces données :
La sensibilité et le volume des données que vous traitez influent directement sur les mesures que vous devez mettre en place afin de les sécuriser.
La vulnérabilité des systèmes informatiques n’est plus un secret, et se munir d’outils de qualité en entreprise est devenu essentiel. Vous pouvez également compléter votre démarche sécuritaire en souscrivant à un contrat d’assurance pour la protection de vos données.
Pour conclure :
La rigueur qu’implique ce projet dans la gestion et la sécurisation de vos données représente à nos yeux trois grands avantages pour votre entreprise :
- Vous renforcerez grandement la confiance de toutes de vos parties prenantes en jouant la carte de la transparence et de la sécurité.
- Vous améliorerez votre efficacité en interne en ne traitant que les données nécessaires à votre activité.
- Les données étant devenues la matière première de la démarche commerciale, vous en améliorerez la pertinence et l’efficacité, en ciblant mieux vos clients et vos futurs prospects.
Vous souhaitez engager votre entreprise dans l’innovation managériale ? Discutons-en…