• Home
  • RGPD : par où commencer

RGPD : par où commencer

26 avril 2018 admin 0 Comments

Les 4 actions principales à mener pour entamer votre mise en conformité aux règles de protection des données. Ces actions doivent perdurer dans le temps pour être efficaces.

1. Constituez un registre de vos traitements de données
Ce document vous permet de recenser tous vos fichiers et d’avoir une vision d’ensemble.
IL permet d’identifier les activités principales de votre entreprise qui nécessitent la collecte et le traitement de données.
Le registre est placé sous la responsabilité du dirigeant de l’entreprise.
Pour avoir un registre exhaustif et à jour, il faut en discuter et être en contact avec toutes les personnes de l’entreprise susceptibles de traiter des données personnelles.
En constituant votre registre, vous aurez une vision d’ensemble sur vos traitements de données.

2. Faites le tri dans vos données
La constitution du registre vous permet de vous interroger sur les données dont votre entreprise a réellement besoin.
A cette occasion, améliorez vos pratiques ! Minimisez la collecte de données, en éliminant de vos formulaires de collecte et vos bases de données toutes les informations inutiles. Redéfinissez qui doit pouvoir accéder à quelles données dans votre entreprise. Pensez à poser des règles automatiques d’effacement ou d’archivage au bout d’une certaine durée dans vos applications.
BONNE PRATIQUE
Echanger avec des entreprises comparables ou d’autres entrepreneurs sur votre mise en œuvre du RGPD vous aidera à mieux appréhender le reste à faire, ou consulter votre fédération professionnelle.

3. Respectez les droits des personnes
Le RGPD renforce l’obligation d’information et de transparence à l’égard des personnes dont vous traitez les données (clients, collaborateurs, etc.).
Informez les personnes
A chaque fois que vous collectez des données personnelles, le support utilisé (formulaire, questionnaire, etc.) doit comporter des mentions d’information.
Pour éviter des mentions trop longues au niveau d’un formulaire en ligne, vous pouvez par exemple, donner un premier niveau d’information en fin de formulaire et renvoyer à une politique de confidentialité / page vie privée sur votre site internet.
À l’issue de cette étape, vous avez répondu à votre obligation de transparence.
Permettez aux personnes d’exercer facilement leurs droits
Les personnes dont vous traitez les données (clients, collaborateurs, prestataires, etc.) ont des droits sur leurs données, qui sont d’ailleurs renforcés par le RGPD : droit d’accès, de rectification, d’opposition, d’effacement, à la portabilité et à la limitation du traitement.
Vous devez leur donner les moyens d’exercer effectivement leurs droits. Si vous disposez d’un site web, prévoyez un formulaire de contact spécifique, un numéro de téléphone ou une adresse de messagerie dédiée. Si vous proposez un compte en ligne, donnez à vos clients la possibilité d’exercer leurs droits à partir de leur compte.
Mettez en place un processus interne permettant de garantir l’identification et le traitement des demandes dans des délais courts (1 mois au maximum).

4. Sécurisez vos données
Si le risque zéro n’existe pas en informatique, vous devez prendre les mesures nécessaires pour garantir au mieux la sécurité des données. Vous êtes en effet tenu à une obligation légale d’assurer la sécurité des données personnelles que vous détenez.
Vous garantissez ainsi l’intégrité de votre patrimoine de données en minimisant les risques de pertes de données ou de piratage.
Les mesures à prendre, informatiques ou physiques, dépendent de la sensibilité des données que vous traitez et des risques qui pèsent sur les personnes en cas de d’incident.
Les failles de sécurité ont également des conséquences pour ceux qui vous ont confié des données personnelles : Ayez à l’esprit les conséquences pour les personnes de la perte, la divulgation, la modification non souhaitée de leurs données, et prenez les mesures nécessaires pour minimiser ces risques.
L’approche assurantielle au-delà du RGPD :
Cette démarche d’anticipation sur le niveau global de sécurité peut être complétée par une approche assurantielle. Renseignez-vous auprès de ces professionnels sur le contenu possible des polices d’assurance (responsabilité civile, dommages couverts…) ET surtout sur les services à l’assuré (notamment l’assistance en cas de sinistre, de gestion de crise…).
Signalez à la CNIL les violations de données personnelles
Votre entreprise a subi une violation de données (des données personnelles ont été, de manière accidentelle ou illicite, détruites, perdues, altérées, divulguées ou vous avez constaté un accès non autorisé à des données) ?
Vous devez la signaler à la CNIL dans les 72 heures si cette violation est susceptible de représenter un risque pour les droits et libertés des personnes concernées. Cette notification s’effectue en ligne sur le site internet de la CNIL.
Si ces risques sont élevés pour ces personnes, vous devrez les en informer.

Source CNIL : RGPD : par où commencer

leave a comment