Le développement de la technologie, et surtout d’Internet, n’est pas sans risque pour les usagers. Afin de les protéger, le RGPD a donc été mis en place. L’objectif est d’avoir un cadre qui permet de respecter le droit à une vie privée et la liberté personnelle. Il appartient à chaque entreprise de mettre en place une politique en vue de sa mise en conformité au RGPD.
Qu’est-ce que la mise en conformité RGPD ?
RGPD est l’acronyme de Règlement Général sur la Protection des Données. Il s’agit d’une directive européenne qui met en avant les règles à suivre pour le traitement des données à caractère personnel.
Elle a fait son apparition en 2015, mais n’a été appliquée que le 25 mai 2018. Son principal objectif est de protéger les citoyens européens contre les utilisations malveillantes des données les concernant.
La mise en place du RGPD constituait une nécessité avec les avancées réalisées en matière de collecte de données. Le risque est qu’elles tombent entre les mains de personnes malintentionnées. Cette directive a été définie afin de disposer d’un cadre qui régit l’accès et l’utilisation de ces données personnelles.
La mise en conformité au RGPD est obligatoire pour toutes les structures amenées à manipuler des données personnelles, que celles-ci concernent des collaborateurs internes, des prospects ou des clients.
La directive s’applique aux entreprises autant qu’aux administrations, aux associations ou aux collectivités territoriales. Les mesures mises en avant s’imposent aux personnes et aux structures responsables du traitement des données. Les prestataires externes sont aussi concernés, compte tenu du danger de la sous-traitance informatique.
La particularité du RGPD est qu’il touche toutes les structures qui traitent des données appartenant à un citoyen européen. La réglementation n’est donc pas uniquement en vigueur en Europe. Elle peut être mobilisée à l’échelle mondiale, dès lors que les données manipulées appartiennent à un citoyen d’un pays de l’Europe.
Mise en conformité RGPD : collecte de données personnelles et recueil du consentement
Après la mise en conformité de votre entreprise, vous recevrez une certification de la CNIL. Bien entendu, des réajustements peuvent être nécessaires afin d’y parvenir. D’ailleurs, qu’entend-on réellement par données personnelles ? Pourquoi et comment protéger ses données personnelles ? Quelles mesures faut-il respecter conformément au RGPD ?
Ce que signifie une donnée personnelle
Est considérée comme donnée personnelle, toute information qui permet d’identifier directement ou indirectement une personne. Il peut s’agir d’un nom, d’un numéro de téléphone ou d’un numéro client. Une information qui fait référence aux caractéristiques physiques, sociales, physiologiques ou génétiques est aussi considérée comme personnelle. Il en va de même pour les photos ou une partition vocale.
On parle ensuite de traitement de données personnelles pour désigner toute opération réalisée concernant le type d’informations susmentionnées. Cette opération peut être la collecte, l’organisation ou la modification de ces données.
Les obligations qui naissent de la RGPD
Quels que soient la nature des données exploitées et les objectifs visés, il existe des obligations que vous devez respecter conformément au RGPD :
- Vous devez avant tout obtenir le consentement de leurs propriétaires en vue de leur traitement ;
- L’opération réalisée doit avoir un objectif précis, en phase avec les besoins de votre entreprise ;
- La personne propriétaire doit pouvoir garder la mainmise sur les informations la concernant et décider de leur utilisation. Il peut par exemple recourir à son droit à l’oubli ou à une rectification ;
- Vous devez mettre en place une solution de sécurité pour les données que vous avez en main et garantir leur confidentialité ;
- Vous pouvez garder les données pendant une durée de temps limitée. Une solution qui permet de les supprimer systématiquement une fois l’échéance atteinte sera donc nécessaire.
Comment se mettre en conformité avec le RGPD ?
Se mettre en conformité avec le RGPD signifie mettre en place des politiques de gestion de données qui garantissent leur sécurité. Cela se fera par un ensemble de démarches que vous devez commencer à mettre en œuvre. La CNIL (Commission nationale de l’informatique et de la liberté) recommande quatre actions en vue de s’aligner sur les réglementations désormais en vigueur.
Le développement de la technologie, et surtout d’Internet, n’est pas sans risque pour les usagers. Afin de les protéger, le RGPD a donc été mis en place. L’objectif est d’avoir un cadre qui permet de respecter le droit à une vie privée et la liberté personnelle. Il appartient à chaque entreprise de mettre en place une politique en vue de sa mise en conformité au RGPD. Les actions à déployer pour rendre conforme votre site web ne sont pas des plus simples et nécessitent de solides connaissances techniques. C’est pourquoi, que vous soyez une TPE / PME ou une entreprise d’une taille plus conséquente, nous vous précisons d’emblée qu’il sera préférable de faire appel aux services d’une agence RGPD expérimentée, qui va pouvoir vous accompagner dans cette tâche, en vous assurant une mise en conformité RGPD réussie à 100%.
Élaborer un registre dédié au traitement des données
Il vous permettra de suivre l’ensemble des opérations impliquant le traitement de données personnelles dans votre entreprise. Il en facilite la gestion grâce à une centralisation des informations les concernant.
L’idée serait dans un premier temps d’identifier les divisions au sein de votre organisation susceptibles de traiter des informations personnelles. Ce peut être le service en charge du recrutement, des fiches clients, du personnel, etc.
Il convient ensuite de constituer une fiche pour chacune d’elles et de préciser :
- La nature des informations enregistrées ;
- Les objectifs visés par le traitement des données ;
- Les personnes autorisées à y accéder ;
- Le temps de sauvegarde.
Le registre doit être tenu par le dirigeant qui échangera régulièrement avec les collaborateurs concernés afin de le mettre à jour.
Effectuer un tri sur les données enregistrées
Il sera utile de vérifier l’ensemble des informations de votre base de données. L’objectif est de garantir le respect de la politique en place :
- Assurez-vous de ne détenir que les données utiles à votre activité ;
- Vérifiez que les personnes qui y ont accès sont celles qui ont une autorisation ;
- Identifiez les éventuelles données sensibles et assurez-vous d’avoir le droit qu’il faut pour les traiter ;
- Surveillez la durée de conservation des données afin de ne jamais dépasser le délai imposé.
Appliquer une politique de transparence
Les personnes propriétaires des données ont le droit de connaitre les politiques mises en place pour leur traitement. De même, à tout moment, elles doivent avoir la possibilité de recourir à leurs droits personnels sur ces informations.
Vous êtes donc tenu de les informer au moment de la collecte. Vous pouvez le réaliser par le biais d’un formulaire web ou une page dédiée qui met en relief votre politique de confidentialité.
Il est aussi important de mettre en place un cadre qui leur permet d’exercer facilement leur droit. Vous pouvez par exemple proposer une adresse de messagerie qu’ils peuvent utiliser pour demander l’accès ou la suppression des données.
Renforcer la sécurité
La mise en place d’une méthode de chiffrement de données ou la mise à jour régulière des logiciels utilisés font partie des initiatives que vous devez entreprendre pour garantir la sécurité de votre base de données. En cas de faille dans votre système, il est de votre devoir d’informer la CNIL ainsi que les personnes concernées.
Le rôle du DPO dans la mise en conformité de l’entreprise
La mission du DPO ou Délégué à la Protection des Données se résume en ces quatre points :
- Il aide l’entreprise à réaliser une cartographie des données à caractère personnel qu’elle sera amenée à traiter ;
- Il l’informe des réglementations en vigueur, la conseille quant aux politiques à mettre en place afin de les respecter et l’accompagne pour sa mise en œuvre ;
- Il vérifie la mise en conformité avec le RGPD ;
- Il sert d’intermédiaire avec les organismes de contrôle tel que la CNIL.
Il appartient au DPO de gérer les processus liés au traitement des données et qui permettent de se conformer au RGPD. D’ailleurs, vous pouvez lui confier le registre de traitement. Il faudra également s’adresser à lui pour toutes les questions le concernant.
Le poste peut être occupé par une personne en interne ou un prestataire externe.
Source image de couverture Good_Stock / Shutterstock.com