Le RGPD, vous savez ce que c'est... Enfin à peu près...
Oh et puis, il est peu probable que l'on vienne vous contrôler, vous en province...
Détrompez-vous ! Les Talents insitu ont eu droit à une mise à niveau que nous partageons avec vous !
RGPD signifie Règlement Général sur la Protection des Données.
Il s’agit d’un règlement européen qui régit le traitement des données personnelles.
Suis-je concerné ?
Que vous soyez responsable d’une entreprise ou d’une association, quel que soit la taille, le CA ou l'activité vous êtes concerné par le RGPD dès lors que vous détenez des données personnelles.
Le volume de données peut lui changer selon votre activité, mais quoi qu'il en soit, dans le fond d'un bureau, il y a toujours une donnée qui traîne.
Salariés, clients, patients, usagers, fournisseurs, prospects, dès lors que vous récoltez une information faisant référence à une personne physique, vous rentrez dans le cadre du règlement.
A noter : Les données personnelles ne sont pas obligatoirement dématérialisées, les registres papiers en font également partie.
Je ne traite que des données professionnelles, suis-je concerné ?
Les données professionnelles ne rentrent normalement pas dans le champ du RGPD, néanmoins nous vous conseillons de prendre vos dispositions vis-à-vis de ces données, car la frontière entre professionnel et personnel est très mince.
Par exemple un email professionnel dont l’adresse contient nom et prénom est considérée comme personnelle.
Quelles sont les obligations pour l’entreprise ou l'organisation ?
Vous vous devez d'assurer que les informations collectées sont justifiées, sécurisées, effaçables.
Pour cela, vous allez constituer un registre listant l'ensemble des données récoltées et les traitements qui sont opérés.
4 étapes principales :
- Inventaire des données collectées
Vous listez les données, vous expliquez à quoi elles servent : vous constituez le registre. - Tri des données
Pour chaque fiche de registre, vous déterminez :
- Si les données sont nécessaires.
- Si les personnes qui ont accès à ces données en ont réellement besoin. (ex : est-ce que le responsable qualité a besoin d’avoir accès au numéro de sécurité sociale d’un collaborateur ?)
- Si le temps de conservation est correct
- Si les données collectées sont sensibles : certains types de données sont à risque et ne peuvent être utilisées que dans un cadre très strict. c'est le cas des données révélant les origines raciales ou ethniques, les opinions politiques ou religieuses, l'appartenance syndicale, la santé et orientation sexuelle et la génétique.
A cette étape, nous vous conseillons de faire le ménage sur les données non-nécessaires, de restreindre les accès et de définir les temps de conservation. - Respect du droit des personnes
A chaque fois que vous collectez des données, informez vos interlocuteurs sur la finalité et les modalités.
Facilitez aussi la possibilité de demande d’effacement. - Sécuriser
On vous le répète régulièrement, mais il est indispensable de travailler la sécurité de son système d'information aussi pour protéger les données que vous avez collecté. - Se préparer à une attaque
Au moment de la mise en place de votre politique RGPD, pensez à écrire avec les acteurs concernés, un plan d'action en cas d'attaque.
Qui fait quoi, qui est responsable de quoi ?
- LA CNIL : Est le régulateur des données personnelles. Elle accompagne les professionnels dans la mise en conformité et aide les particuliers à exercer leurs droits et protéger leurs données.
- Le responsable du traitement : C'est la personne (physique ou morale) qui détermine les finalités et moyens du traitement des données.
- Le délégué à la protection des données ou DPO : C'est le référent conformité au sein de l'organisation. Il conseille le responsable du traitement et assure le contact avec les personnes dont vous traitez les données. Il peut être obligatoire dans certains cas.
- Le référent RGPD : C'est un membre du personnel ou un intervenant régulier qui suit et assure le respect des règles en matière de traitement des données dans votre entreprise. Il vient ne lieu et place du DPO.
Je veux m'assurer de ma conformité, je commence par quoi ?
- Désigner un référent RGPD dans votre entreprise.
- Faire un audit de traitement des données ET de sécurité informatique.
- Mener les actions ET sensibiliser les collaborateurs.
Qu'est ce que je risque ?
La loi informatique et liberté prévoit des sanctions administratives et pénales. 3 millions d'euros et 3 000€ pour les personnes morales. Cela s'entend sans compter les éventuels contentieux, civil, sociaux ou commerciaux.
Le RGPD prévoit lui, une sanction administrative renforcée de 20M€ ou 4% du CA annuel mondial. Les sanctions pénales sont celles du pays.
Mettre son entreprise en conformité RGPD va prendre du temps au début, il s'agit d'un vrai projet dont le DPO ou le référent RGPD sont les chefs d'orchestre. La phase initiale d'inventaire et de diagnostic est chronophage, mais une fois ces étapes réalisées, vous n'aurez alors qu'un suivi et une révision annuelle des traitements à réaliser.
Il est délicat pour une entreprise de confier cette tâche à un collaborateur qui a déjà une fonction et donc peu de temps pour le réaliser. Dans ce cas, un accompagnement régulier 1,2 ou 3 jours par semaine prend tout son sens. Avec la neutralité d'un œil externe et la régularité de présence, vous vous assurez d'une mise en conformité rapide et efficace.
Que ce soit en informatique ou en qualité, nos collaborateurs peuvent vous accompagner dans votre mise en conformité. Pour en savoir plus, contactez-nous !