La RGPD en pratique pour les TPE PME

Depuis plusieurs mois nous entendons parler de la RGPD, la deadline au 25 mai 2018... mais jusqu'à présent, tous les articles et guides publiés n'étaient destinés qu'aux grandes entreprises. Depuis peu, la BPI et la CNIL mettent à disposition des TPE PME un guide pratique de sensibilisation au RGPD.
Devant tous nous conformer à ce nouveau règlement, j'ai parcouru ce guide et vous en délivre les points principaux et les actions à mettre en place pour débuter votre mise en conformité.
UNE 1èRE PHRASE POUR VOUS RASSURER: "Si les données personnelles ne sont pas au cœur de votre activité,les moyens à déployer pour vous mettre en conformité au RGPD ne seront pas très importants !"
→ Bon à savoir: ce sont le volume ou la sensibilité des données traitées qui sont importants et non la taille ou le nombre d'employés de l'entreprise.
QUI EST CONCERNÉ ?
La RGPD s'applique à toute organisation publique ou privée qui traite des données personnelles pour son compte ou non dès lors:
qu'elle est établie sur le territoire de l'Union Européenne
que son activité cible directement les résidents européens
QU'EST-CE QU'UNE DONNÉE PERSONNELLE?
Une donnée personnelle correspond à "toute information se rapportant à une personne physique identifiée ou non identifiable":
un nom, un prénom
un identifiant client, un numéro de téléphone, une voix, une image, des éléments d'identité physiques...
QU'EST-CE QU'UN TRAITEMENT DES DONNÉES PERSONNELLES?
"C'est une opération ou un ensemble d'opérations, portant sur des données personnelles, quel que soit le procédé utilisé (collecte, enregistrement...)":
tenue d'un fichier client,
collecte de coordonnées de prospects via un questionnaire,
mise à jour d'un fichier...
Bon à savoir:
→un fichier ne contenant que les coordonnées de l'entreprise (nom de l'entreprise, adresse postale, n° de téléphone standard, email avec contact générique) n'est pas un traitement de données personnelles.
→ un traitement de données doit avoir une finalité, il ne doit pas être collecté pour être utile un jour.
4 ACTIONS PRINCIPALES A METTRE EN PLACE POUR DÉBUTER LA MISE EN CONFORMITÉ DE SON ENTREPRISE
1. Constituer un registre de traitement des données
Vous devez créer une fiche pour chaque activité recensée:
gestion de clients prospects
statistiques des ventes
recrutement...
La CNIL met à disposition des entreprises un modèle de registre détaillé qui vous guide pour renseigner: l'objectif poursuivi dans le traitement de vos données, les catégories de données utilisées, les accédants aux données, la durée de conservation des données au niveau opérationnel et en archivage.
Bon à savoir:
→Vous n'avez pas besoin de mentionner au registre des traitements les fichiers occasionnels utilisés pour des opérations ponctuelles. ex: l'inauguration d'une boutique.
→Le registre de traitement des données est un document interne et évolutif qui aide l'entreprise à piloter sa conformité. Il ne doit être communiqué qu'à la demande de la CNIL dans le cadre d'un contrôle.
2. Trier les données
Pour chaque fiche créée, vous devez vérifier que les données traitées sont nécessaires à votre activité et juger si elles sont sensibles.
Vous pouvez améliorer les pratiques en éliminant des formulaires de collecte et bases de données toutes les informations inutiles.
3. Respecter les droits des données
A chaque fois que vous collectez des données personnelles, vous devez apporter des mentions d'information sur vos supports (questionnaire, formulaire...):
à quelle(s) fin(s) vous collectez ces données
ce qui vous autorise à traiter ces données: obligation légale, consentement de la personne...
qui, dans votre entreprise, a accès aux données: indiquer le ou les services compétents
comment la personne peut exercer ses droits: via son espace personnel dans votre site web, via un n° de téléphone, une adresse email spécifique...
si vous transférez ces données hors Union Européenne
Bon à savoir:
→Pour ne pas trop charger un formulaire en ligne avec ces mentions, vous pouvez par exemple donner un 1er niveau d'information en fin de formulaire puis renvoyer à une page vie privée sur votre site web. La CNIL met à disposition des exemples de mentions sur son site web.
4. Sécuriser les données des personnes
Vous êtes tenu d'assurer la sécurité des données personnelles que vous détenez par:
la mise à jour de vos antivirus et logiciels
le changement régulier de vos mots de passe et l'utilisation de mots de passe complexes.
Bon à savoir:
→Si votre entreprise subit une violation de données (données personnelles détruites, perdues, altérées, divulguées...), que cela représente un risque pour les droits et libertés des personnes concernées, vous pouvez envoyer un signalement à la CNIL dans les 72h suivant le dommage via un formulaire en ligne.
Cet article vous a plu? Partagez-le, laissez-moi vos commentaires...
A bientôt, Carole
Source: https://www.cnil.fr/professionnel