Le 25 mai 2018, le Règlement Général sur la Protection des Données ou RGPD est entré en vigueur en France et dans tous les états membres de l’Union Européenne.
Il s’agit du nouveau cadre européen en matière de circulation et de traitement des données à caractère personnel qui vient remplacer une directive de 1995. Cette réforme apparait essentielle quant à l’explosion du numérique, l’évolution des usages et la mise en place de nouveaux modèles économiques basés sur le traitement des données d’utilisateurs.
Les deux objectifs majeurs du RGPD sont :
- Renforcer les droits des personnes en protégeant l’utilisation de leurs données à caractère personnel ;
- Responsabiliser les acteurs procédant au traitement de ces données.
Cette réglementation exige des entreprises un traitement transparent et en bonne intelligence des données à caractère personnel collectées par les entreprises.
Petites et grandes entreprises, le RGPD concerne tout le monde. Même si l’ambition de cette réforme est avant tout d’instaurer un cadre de protection face à la collecte et l’usage à des fins commerciales de données à caractère personnel par les GAFA ou autres grandes entreprises du secteur digital, vous devez également vous pencher sur la thématique.
LE RGPD EST ENTRÉ EN VIGUEUR. MAIS PAS DE PANIQUE ! QUELQUES BONS CONSEILS POUR COMMENCER
1. Entamez les démarches de mise en conformité et adoptez les bonnes pratiques :
- Depuis le 25 mai 2018, vous devez a minima pouvoir démontrer que vous avez commencé à réfléchir à votre mise en conformité et engager des démarches en ce sens (formation, audit, constitution de registre, etc.)
- Faites le tri dans les données que vous stockez et ne conservez que les données à caractère personnel qui sont nécessaires à votre activité et qui répondent à une finalité bien précise (gestion du dossier client, fidélisation de la clientèle, recrutement, gestion des paies, etc.)
- Constituez un registre de vos traitements de données pour recenser vos fichiers et avoir une vision d’ensemble de vos activités nécessitant la collecte et le traitement de données ;
- Minimisez la collecte de données en éliminant de vos formulaires de collecte et vos bases de données toutes les informations inutiles ;
- Redéfinissez qui doit pouvoir accéder à quelles données dans votre entreprise ;
- Mettez en place les outils et un plan d’action pour vous permettre de mettre à jour régulièrement les données que vous collectez et traitez ;
- Vérifiez la conformité des outils que vous utilisez au RGPD (CRM, logiciel, etc.), vous devez vous assurer que vos prestataires ont fait le nécessaire pour mettre en conformité les outils que vous utilisez au RGPD ;
- Informez et sensibilisez le personnel de l’entreprise sur les bonnes pratiques à mettre en place au quotidien.
2. Informez les personnes dont vous collectez les données
- Mettez à jour vos mentions légales pour expliquer à vos utilisateurs, clients, prospects, collaborateurs, prestataires, etc.) votre politique de collecte et de traitement de leurs données ;
- A chaque fois que vous collectez des données personnelles, le support utilisé (formulaire, questionnaire, etc.) doit comporter au moins un premier niveau d’information et renvoyer à votre politique de confidentialité plus complète le cas échéant.
3. Permettez aux personnes concernées d’exercer leurs droits
- Mettez en place sur vos support de collectes de données un outil permettant à l’utilisateur de donner son consentement express et éclairé sur le traitement de ses données à caractère personnel (un système d’opt-in / de double opt-in par exemple) ;
- Laissez aux personnes dont vous traitez les données la possibilité d’accéder, de corriger, d’effacer leurs données personnelles ou de s’opposer ou d’en limiter le traitement (une donnée même telle que l’IP est réputée personnelle) ;
- Prévoyez sur votre site web un formulaire de contact spécifique ou indiquez les coordonnées du responsable du traitement des données et la procédure pour le contacter (numéro de téléphone ou une adresse de messagerie dédiée, etc) ;
- Mettez en place un processus interne pour que les demandes soient traitées dans un délai d’un mois maximum ;
- Pensez à poser des règles automatiques d’effacement ou d’archivage des données au bout d’une certaine durée dans vos applications.
4. Sécurisez vos données
- Vous devez assurer la sécurité des données personnelles que vous détenez, en garantir l’intégrité et minimiser les risques de pertes de données ou de piratage ;
- Mettez à jour de vos antivirus et logiciels ;
- Changez régulièrement de mots de passe et utilisez des mots de passe complexes, ou le chiffrement de vos données ;
- Vérifiez que les comptes utilisateurs internes et externes sont protégés par des mots de passe d’une complexité suffisante ;
- Sécurisez l’accès physique à vos locaux ;
- Mettez en place des procédures de sauvegarde et de récupération des données en cas d’incident.
5. Signalez toute violation de données personnelles
- En cas de perte, destruction, altération, divulgation ou d’accès non autorisé à des données, accidentellement ou de manière illicite, susceptible de représenter un risque pour les droits et libertés des personnes concernées, déclarerez cette violation dans les 72 heures en ligne sur le site de la CNIL.
ET VOUS, QUEL RGPD ÊTES-VOUS ?
BESOIN D’UN PETIT COUP DE MAIN ?
Si vous répondez aux critères nécessitant la mise en place d’une conformité complète, vous avez probablement déjà engagé ce travail. Dans le cas contraire, n’hésitez pas à nous contacter, nous vous donnerons les premières mesures à prendre et vous orienterons vers des partenaires spécialisés pour un travail de mise en place complet du dispositif.
Si vous êtes sous le coup d’une mise en conformité plus « légère », qui correspond au besoin de la plupart des entreprises, Digital Effervescence et Legal Insight ont mis en place une offre commune sur-mesure pour vous accompagner :
- Réalisation d’un diagnostic de vos traitements de données ;
- Formation / sensibilisation des équipes ;
- Recommandations et plan d’actions sur-mesure (mise à jour des mentions légales, ateliers sur l’utilisation des données, optimisation de la relation « client », vérification de la conformité des outils, organisation en interne de la gestion des données, accompagnement régulier, etc.)
