Entrepreneur individuel, chef de petite entreprise, vous avez entendu parler du RGPD (règlement général sur la protection des données) mais vous n’avez pas le temps de vous y intéresser ? Ne négligez pas cette question, car votre entreprise doit être en règle avec cette nouvelle norme à compter du 25 mai 2018. Suivez quelques conseils simples et rapides afin de vous mettre en conformité :
RGPD: Kézako ?
Il s’agit d’un règlement européen en matière de protection de la vie privée, qui vient compléter l’ancienne loi « informatique et libertés » en fixant de nouvelles exigences concernant la protection de la vie privée.
Il définit un cadre autour des droits de chaque individu, afin de sécuriser la protection des données personnelles, et s’applique à toutes les entreprises privées ou publiques qui traitent des données personnelles de citoyens européens.
Il s’adresse donc à votre entreprise mais aussi à l’ensemble des prestataires ou sous-traitants qui traitent les données de vos clients ou de vos salariés.
En cas de non-conformité à ce règlement, la CNIL sera en mesure de contrôler n’importe quelle structure et de la sanctionner par la suspension du traitement sur les données ou par de lourdes amendes administratives.
Outre l’aspect financier, les sanctions infligées peuvent avoir une incidence sur la réputation ou l’image de votre structure à l’égard de vos clients et partenaires.
C’est pourquoi il est indispensable d’assurer la conformité de votre entreprise à ces nouvelles règles.
Données personnelles ?
Quel que soit votre domaine d’activité, vous détenez certainement des données à caractère personnel de vos clients personnes physiques ou de vos salariés :
-des données à caractère personnel courantes : état civil, revenus, données de connexion, données de localisation, vie personnelle (situation familiale etc …)
-des données à caractère personnel sensibles : données bancaires, numéro de sécurité sociale, données médicales, casier judiciaire etc …
Les solutions à mettre en œuvre dans votre entreprise
L’objectif est de mettre en œuvre des mesures de sécurité pour limiter les risques d’accès non autorisé à ces données.
1ère étape : Mettez à jour vos documents commerciaux et contractuels
Il est obligatoire d’informer les personnes concernées du traitement de leurs données à caractère personnel et d’obtenir leur accord.
Cette information pourra figurer sur différents supports: sur vos conditions générales de vente et vos devis, sur le formulaire de contact de votre site web, sur les contrats de travail, par un affichage à destination des salariés dans l’entreprise etc…
Nommez un responsable du traitement des données qui sera le référent sur ces questions dans votre entreprise.
2ème étape : Sécurisez votre système
Mettez en place des mots de passe pour accéder aux ordinateurs de votre entreprise et sécurisez l’accès aux dossiers papier (armoire fermée par exemple).
Assurez-vous que votre système informatique soit protégé par un anti-virus à jour.
3ème étape : Sélectionnez les données personnelles que vous détenez
Veillez à ne conserver que les documents strictement nécessaires à la réalisation de votre mission, restituez les documents inutiles à vos clients.
3ème étape : Ne conservez pas inutilement des données personnelles
Veillez également à ne conserver les documents utiles que pour la durée nécessaire (exemple : si un salarié quitte votre entreprise, ne conservez les données de paie que pour la durée pendant laquelle l’Urssaf pourrait faire un contrôle, soit 3 ans)
4ème étape : Vérifiez la conformité de vos prestataires au RGPD
Assurez-vous que vos partenaires professionnels ou vos sous-traitants prennent les mêmes précautions pour la gestion des données de vos clients.
En cas de non-conformité de vos sous-traitants au RGPD, votre entreprise pourra être considérée comme co-responsable et subir elle aussi des sanctions.
5ème étape : Prévoyez un process pour répondre aux demandes de vos clients ou de vos salariés
Vous devez être en mesure de répondre à vos clients ou vos salariés, qui peuvent vous demander d’effectuer certaines actions, et ce dans le délai d’1 mois à compter de leur demande.
Leurs droits sont les suivants :
-le droit d’accès aux données que vous détenez, par la communication d’une copie,
-le droit d’obtenir la rectification de ces données,
-le droit à l’oubli, à savoir le droit à l’effacement des données quand elles ne vous sont plus utiles pour la réalisation de votre prestation,
-le droit à la limitation du traitement des données, à savoir la possibilité de suspendre le traitement des données en cas par exemple d’une contestation par la personne concernée sur leur exactitude,
-le droit à la portabilité, à savoir le droit pour la personne concernée d’obtenir les données qu’elle vous a fournies, dans un format structuré, pour les transmettre à un autre professionnel
-le droit d’opposition au traitement des données personnelles par vos soins, par exemple le droit de s’opposer à la prospection commerciale.
6ème étape : Prévoyez un process en cas d’incident sur la gestion des données
Votre système informatique est atteint d’un virus ? Vos locaux ont été cambriolés et vos ordinateurs ont été volés ? Quelqu’un a détourné votre fichier client ?
Vous devez bien entendu prendre les dispositions nécessaires pour y remédier.
Si une fuite des données personnelles est confirmée, vous devez en informer la CNIL ainsi que les personnes concernées.
En résumé, vigilance, précautions et information doivent désormais être formalisées au sein de votre entreprise.
N’hésitez pas à me contacter pour des solutions adaptées à votre activité.