Mise en conformité RGPD – les 4 grandes étapes

En vigueur depuis mai 2018, le règlement général sur la protection des données s’appliquent à tous dans l’Union Européenne. Quelles sont les grandes étapes pour la mise en conformité nécessaire dans vos entreprises ? Voici des éléments de réponse sur la base du guide TPE/PME de la CNIL et BPI France (retrouvez le guide en cliquant ici).

Les 4 actions principales à mener pour entamer votre mise en conformité aux règles de protection des données sont les suivantes :

1. Recensez vos fichiers
2. Faites le tri dans vos données
3. Respectez les droits des personnes
4. Sécuriser les données

 1/ Le registre de traitement des données doit préciser au moins :

• l’objectif poursuivi (la finalité - exemple : la fidélisation client) ;
• les catégories de données utilisées (exemple pour la paie : nom, prénom, date de naissance, salaire, etc.) ;
• qui a accès aux données (le destinataire - exemple : service chargé du recrutement, service informatique, direction, prestataires, partenaires, hébergeurs) ;
• la durée de conservation de ces données (durée durant laquelle les données sont utiles d’un point de vue opérationnel, et durée de conservation en archive).

La CNIL propose une trame de registre simplifié (cliquer ici)

2/ Pourquoi collecter des données ?

Pour chaque fiche de registre créée, vérifiez :

• que les données que vous traitez sont nécessaires à vos activités (par exemple, il n’est pas utile de savoir si vos salariés ont des enfants, si vous n’offrez aucun service ou rémunération attachée à cette caractéristique) ;
• que vous ne traitez aucune donnée dite « sensible » ou, si c’est le cas, que vous avez bien le droit de les traiter (reportez-vous au guide CNIL/BPI France 6 « Traitements de données à risque : êtes-vous concerné ? », page 50) ;
• que seules les personnes habilitées ont accès aux données dont elles ont besoin ;
• que vous ne conservez pas vos données au-delà de ce qui est nécessaire.

3/ Respect des droits

Vérifiez de bien informer lors de la collecte des données auprès des clients, collaborateurs, des points suivants :

• pourquoi vous collectez les données (« la finalité » ; par exemple pour gérer l’achat en ligne) ;
• ce qui vous autorise à traiter ces données (le « fondement juridique » : il peut s’agir du consentement de la personne concernée, de l’exécution d’un contrat, du respect d’une obligation légale qui s’impose à vous, de votre « intérêt légitime ») ;
• qui a accès aux données (indiquez des catégories : les services internes compétents, un prestataire, etc.) ;
• combien de temps vous les conservez (exemple : « 5 ans après la fin de la relation contractuelle ») ;
• les modalités selon lesquelles les personnes concernées peuvent exercer leurs droits (via leur espace personnel sur votre site internet, par un message sur une adresse email dédiée, par un courrier postal à un service identifié) ;
• si vous transférez des données hors de l’Union européenne (précisez le pays et l’encadrement juridique qui maintient le niveau de protection des données).

4/ Sécuriser les données :

Assurez-vous d’avoir les process internes permettant de garantir la sécurité et l’intégrité des données, bien entendu en relation avec la sensibilité des données traitées. Mais vous êtes responsables des données personnelles détenues.

 

Télécharger le guide CNIL / BPI

Télécharger la trame de registre de traitement des données.