Avant d’entamer les hostilités envers le RGPD, je vais brièvement vous faire un rappel au cas où vous ne savez pas encore ce que c’est.
Pour faire long, on parle ici du règlement général sur la protection des données, souvent abrégé RGPD, parce que c’est bien trop long à écrire sinon, ou GDPR pour les anglophones.
En simplifiant le RGPD, je dirais que c’est une loi européenne qui permet de protéger les internautes et clients d’entreprises tout en donnant un travail monstrueux de mise en conformité pour les entreprises.
Ce texte de loi entre en application à partir du 25 mai 2018. Toutes les entreprises qui traitent des données devront donc s’y conformer.
Nous allons voir en quelques points succincts les grandes lignes du RGPD. Ce sujet ayant été traité maintes et maintes fois, je vous épargnerai les textes de loi pompeux.
1. Minimiser les données personnelles collectées
Vous collectez des données clients ? Que ce soit les dates de naissance, les noms, prénoms, etc. Vous allez devoir vous mettre en accord avec le RGPD.
Concrètement, cela signifie que vous devez dans un premier temps limiter le nombre de données collectées et expliquer clairement à vos clients pourquoi vous collectez ces données.
Prenons l’exemple d’une newsletter. Si vous récoltez des mails pour l’envoi d’une newsletter, vous devez justifier à vos clients les données récupérées. Vous récupérez un nom et un prénom ? Expliquez à vos utilisateurs dans quel but vous les récupérez (personnalisation des mails par exemple).
Si vous récupérez des informations que vous n’utilisez jamais (date de naissance par exemple), vous devez effectuer un tri des données afin de purger l’ensemble de celles qui ne sont pas nécessaires.
Cela concerne aussi bien les données d’un site, d’une fiche de paie, d’une centrale téléphonique, d’une facture, d’une embauche (CV), de sauvegardes ou les logs d’un serveur.
En résumé :
- Purger l’ensemble des données non nécessaires.
- Limiter les données collectées.
2. Assurez-vous du consentement de l’utilisation des données
Lorsque vous êtes sur le point de collecter des données, vous devez toujours obtenir le consentement de vos utilisateurs ou clients. Expliquez-leur les données recueillies (nom, prénom, etc.), l’usage qui va en être fait ainsi que la durée de conservation de ses données.
N’oubliez pas de mettre à jour vos conditions générales de vente en y ajoutant les informations concernant l’utilisation des données, le droit de modification, consultation ou suppression de ces données.
3. Mettez à jour vos mentions légales
Si vous possédez un site internet, vous n’êtes pas sans savoir que les mentions légales sont obligatoires et comportent certaines mentions dont vous ne pouvez pas vous passer (courrier électronique, numéro de téléphone, etc.). Pour rappel, le blog StoryCom possède un article complet sur la mise en conformité de votre site.
À ces mentions légales, doivent désormais s’ajouter le nom et prénom du responsable ou représentant du traitement des données, les coordonnées du délégué à la protection des données s’il y en a un, les finalités du traitement des données, le ou les destinataires des données, la durée de conservation des données, l’existence du droit de demander d’accéder, de rectifier ou de supprimer des données., l’existence du droit de retirer son consentement et les informations sur l’exigence des données si elles conditionnent la conclusion d’un contrat ou l’utilisation d’un service en ligne.
Il faut que ces informations soient affichées au moment où les données sont obtenues, précédées d’une case à cocher pour que l’utilisateur donne son consentement.
4. Respecter le droit à la portabilité
Le droit à la portabilité signifie simplement que si un client ou un utilisateur vous demande de lui fournir toutes les données que vous avez collectées sur lui, vous devez lui fournir dans un délai n’excédant pas un mois un fichier dans un format importable sur une autre plateforme, par exemple au format de données structurées XML.
5. Mettre en place un registre de conformité
Le registre des traitements est un document qui prouvera la conformité d’une entreprise au RGPD en cas de contrôle de la CNIL.
Le registre doit contenir :
- Le nom et les coordonnées du responsable ou représentant du traitement des données.
- Les finalités du traitement.
- La description des catégories de personnes concernées et des catégories de données à caractère personnel.
- Les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiqués.
- Dans la mesure du possible, les délais prévus pour l’effacement des différentes catégories de données.
- Dans la mesure du possible, une description générale des mesures de sécurité technique et organisationnelle.
Dans tous les cas, il faut lister les traitements mis en œuvre et suivre l’évolution de leur conformité.
6. Assurer la sécurité des données personnelles
Vous êtes responsable des données que détient votre entreprise, c’est pour cela que vous avez le devoir de protéger ces données.
Vous ne devez jamais faire transiter des données clients en clair. Chiffrez les données et utilisez la pseudonymisation.
Mettez en place des moyens qui permettent de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constante des systèmes et des services de traitement (sauvegardes).
Mettez en place des moyens permettant de rétablir la disponibilité des données dans des délais appropriés.
Mettez en place une procédure visant à tester, analyser et évaluer régulièrement l’efficacité des mesures pour assurer la sécurité du traitement.
7. Maintenir un registre des violations de données et des procédures de notification à la CNIL et à la personne concernée
s’il arrive que vous détectez une faille dans votre système de traitement de données et que certaines données ont été corrompues, perdues ou dérobées, vous devez déclarer dans les 72h qui suivent cette violation à la CNIL ainsi qu’à la ou aux personnes concernées.
Vous devez décrire la nature de la violation (destruction, perte, altération, divulgation), la catégorie et le nombre approximatif ou exact de personnes concernées. Vous devez également fournir le nom et les coordonnées du délégué à la protection des données (DPO).
Décrivez également les conséquences probables suite à cette violation de données et les mesures prises ou à prendre pour y remédier.
Dans tous les cas, vous devez obligatoirement tenir un registre des violations de données, même s’il est vide.
Comment être sûr d’être en conformité avec le RGPD ?
Afin d’obtenir plus d’informations concernant le RGPD, ou de vérifier si vous êtes réellement en conformité dans votre entreprise, je vous conseille fortement de faire appel à une personne compétente et spécialisée, tel qu’un juriste.
Si vous possédez un site internet sur lequel vous récupérez des informations qui entrent dans le cadre du RGPD, je vous invite à faire dès aujourd’hui les démarches nécessaires afin d’être en conformité avec la loi.
N’hésitez pas à contacter un conseiller chez StoryCom afin d’obtenir de l’aide pour votre mise en conformité.