Ça y est : le RGPD est arrivé. Il va falloir vous y mettre. Mais vous ne savez pas comment. Vous ne savez pas si vous devez désigner un DPO (Délégué à la Protection des Données)… Et, pourtant, il y a urgence !
Pas de panique ! Même si les principes du RGPD sont transparence, sécurité, confidentialité et organisation… cela ne signifie pas que vous allez devoir monter une usine à gaz pour respecter les nouvelles obligations auxquelles vous faites face.
D’abord, n’oubliez pas que la CNIL, principale autorité des poursuite en la matière, sera plus tolérante vis-à-vis des TPE et des PME car elle indique elle-même sur son site internet : « Il faut en finir avec l’alarmisme sur le RGPD ! Avec ce guide, nous voulons montrer aux PME que se mettre en conformité c’est facile, en adoptant simplement de bons réflexes. A l’heure où les consommateurs sont de plus en plus soucieux de leurs données personnelles, proposer une relation de confiance à ses collaborateurs, clients, prospects, c’est aussi utile à l’entreprise. Enfin, un couperet ne va pas tomber sur les entreprises le 26 mai (2018)« .
Voilà qui est dit.
Et effectivement, j’espère qu’au travers de ce petit guide, essentiellement destiné au PME/TPE, vous découvrirez que ce n’est pas si compliqué.
1) ETAPE 1 : Constituer un « registre des traitements de données » (ci après « RTD »)
C’est l’obligation qui peut paraitre la plus contraignante du RGPD car il faut créer un document, à première vue assez rébarbatif, dont un exemple disponible en téléchargement ici (document d’exemple fourni par la CNIL à compléter ou enrichir selon les besoins).
En fait, c’est assez simple : Ce document énumère vos bases de données nominatives ou susceptibles de contenir des données personnelles et d’avoir une vision d’ensemble.
Pour le constituer, il faut commencer par identifier les actes accomplis par l’entreprise au quotidien et utilisant des données personnelles tel que :
– ce qui concerne le personnel de l’entreprise de l’embauche au licenciement en passant par le badge d’accès ;
– ce qui concerne les clients habituels de l’entreprise, qu’ils soient des clients internet ou non, et dont le nom ou les coordonnées est indiqué dans un fichier numérique ;
– ce qui concerne les fournisseurs dont le nom ou les coordonnées est indiqué dans un fichier numérique.
Dans ce registre, il faut créer une fiche pour chaque base de données en indiquant pour chacune :
– Sa finalité (ex. : facturation et fidélisation client ; gestion paie des salariés, etc) ;
– Les catégories de données utilisées (exemple pour la paie : nom, prénom, date de naissance, salaire, etc.) ;
– Le nom et la qualité de(s) la personne(s) qui a/ont accès aux données (le destinataire – exemple : service chargé du recrutement, service informatique, direction, prestataires, partenaires, hébergeurs) ;
– La durée de conservation de ces données (par exemple : durée d’engagement du salarié + 5 ans après le départ ; fichier de prospection 3 ans max ; fichiers clients 5 max après la dernière commande).
Une fois constitué ce registre est placé sous la responsabilité du dirigeant de l’entreprise et il doit pouvoir être communiqué à la CNIL ou à toute juridiction en faisant la demande, sans délai.
2) ETAPE 2 : Faire le tri ou vérifier l’organisation des données
En principe, l’étape d’organisation logique de l’étape 1 doit logiquement vous conduire à organiser vos données (votre répertoire téléphonique, par exemple) et l’organisation de vos bases de données par catégories…. Et donc à faire un tri de vos données, y compris en supprimant les données sensibles et en vérifiant qui y a accès et comment.
Cela parait au moins aussi fastidieux que l’étape 1, mais cela peut se faire plus rapidement que vous ne l’imaginez, grâce aux outils numériques, et cela vous aidera pour l’avenir car c’est un facteur de valorisation de vos données notamment sur vos clients et vos prospects.
Attention ! si toutefois le tri et la vérification des données est obligatoire, il n’est pas nécessairement obligatoire de réorganiser entièrement les carnets d’adresses de l’entreprise (cela dépend de qui accède aux données et comment) ! En revanche, il est obligatoire de démontrer que vous pouvez à tout moment autoriser ou interdire l’accès à tel ou tel fichier pour des raisons de sécurité et de confidentialité à tout membre de votre entreprise ou prestataire extérieur et que le responsable des données désigné au registre RTD a bien la main pour le faire.
Les outils numériques de CRM, comptabilité, de gestion de paie, de partage de contacts et d’agendas en ligne permettent en principe tous ce type d’organisation et de partage contrôlé : c’est à vous qu’il appartient de vérifier comment, par qui et pour quoi.
Et en tout état de cause, le couperet ne tombant pas le 26 mai 2018, peut-être pouvez vous organiser vos données au fur et à mesure.
3) ETAPE 3 : Informer les personnes visées, recueillir leur consentement et respecter leurs droits
A l’occasion de la constitution du registre « RTD« , informer les personnes visées par ces fichiers et recueillir leur consentement.
Avant de demander leur autorisation à poursuivre le traitement, il faut impérativement informer les personnes comprises dans les fichiers de l’entreprise de la collecte de leur données personnelles, du traitement qui en est fait, de qui y accède, de combien de temps vous les conserverez et comment ils peuvent s’opposer au traitement qui est fait de leur données, sans oublier de préciser les conséquences de leur suppression dudit fichier (si cette suppression est possible et légitime, ce qui n’est pas toujours le cas, comme pour les salariés, par exemple, dont le traitement des salaires peut se poursuivre de manière informatique, dans la mesure où les données traitées sont légitimes, évidemment).
Comment ? Tout simplement en adressant un mailing, par exemple, aux intéressés, pour recueillir leur consentement via un formulaire internet.
Superbe avantage de l’opération : cela peut vous permettre de remettre à jour vos données et de renouveler un fichier avec des données neuves pour 3 ou 5 ans selon les cas.
4) ETAPE 4 : Sécuriser les données et tenir les fichiers à jour
Pour sécuriser les données, pas de secret : il faut limiter l’accès et la modification potentielle des fichiers par des mots de passe et protéger les données (régulièrement mises à jour) par un logiciel anti-virus lui aussi à jour.
Les précisions quant au logiciel anti-virus utilisé et quant à la complexité des mots de passe doivent figurer dans le RTD car c’est un facteur de transparence sur la sécurité apportée vos fichiers : il faut en effet garder à l’esprit que le but est d’être transparent sur la sécurité et la confidentialité des données dont vous avez la responsabilité.
Bien entendu, la sécurisation des données peut passer par le fait de confier l’audit des fichiers de l’entreprise et la gestion du registre RTD à un ancien « CIL » (Correspondant Informatique et Liberté) qui deviendra désormais le « Délégué à la Protection de Données » (DPO), de son nouveau nom.
Bon à savoir : le DPO n’est obligatoire que ; si un ou plusieurs des traitements de données personnelles est faite en vertu d’une autorité ou par une personne publique ; ou si les opérations et traitements sont faits à grande échelle ; ou si les données traitées sont considérées comme « sensibles » ou font l’objet de transfert en dehors de l’Union Européenne (y compris au sein du même groupe de sociétés).
Par conséquent, si vous êtes une TPE/PME nationale qui ne collecte que des emails et des numéros de téléphones de clients et prospects sans autre particularité et sans données sensibles, à petite ou moyenne échelle, vous n’êtes pas concerné par l’obligation de désignation d’un DPO.
Le fait de donner mandat à ce DPO implique que l’entreprise doit le rémunérer pour sa mission, mais également satisfaire à ses recommandations en termes de pratiques, usages, sécurisation des données. Dans ce cas, c’est le DPO qui tiendra le RTD à jour pour l’entreprise.
A défaut, c’est le chef d’entreprise qui en assume les responsabilités.
Consulter mon profil Avocat.fr
23 mai 2018
TPE/PME : Se mettre en conformité avec le RGPD en 4 étapes/actions simples et rapides
Ça y est : le RGPD est arrivé. Il va falloir vous y mettre. Mais vous ne savez pas comment. Vous ne savez pas si vous devez désigner un DPO (Délégué à la Protection des Données)… Et, pourtant, il y a urgence !
Pas de panique ! Même si les principes du RGPD sont transparence, sécurité, confidentialité et organisation… cela ne signifie pas que vous allez devoir monter une usine à gaz pour respecter les nouvelles obligations auxquelles vous faites face.
D’abord, n’oubliez pas que la CNIL, principale autorité des poursuite en la matière, sera plus tolérante vis-à-vis des TPE et des PME car elle indique elle-même sur son site internet : « Il faut en finir avec l’alarmisme sur le RGPD ! Avec ce guide, nous voulons montrer aux PME que se mettre en conformité c’est facile, en adoptant simplement de bons réflexes. A l’heure où les consommateurs sont de plus en plus soucieux de leurs données personnelles, proposer une relation de confiance à ses collaborateurs, clients, prospects, c’est aussi utile à l’entreprise. Enfin, un couperet ne va pas tomber sur les entreprises le 26 mai (2018)« .
Voilà qui est dit.
Et effectivement, j’espère qu’au travers de ce petit guide, essentiellement destiné au PME/TPE, vous découvrirez que ce n’est pas si compliqué.
1) ETAPE 1 : Constituer un « registre des traitements de données » (ci après « RTD »)
C’est l’obligation qui peut paraitre la plus contraignante du RGPD car il faut créer un document, à première vue assez rébarbatif, dont un exemple disponible en téléchargement ici (document d’exemple fourni par la CNIL à compléter ou enrichir selon les besoins).
En fait, c’est assez simple : Ce document énumère vos bases de données nominatives ou susceptibles de contenir des données personnelles et d’avoir une vision d’ensemble.
Pour le constituer, il faut commencer par identifier les actes accomplis par l’entreprise au quotidien et utilisant des données personnelles tel que :
– ce qui concerne le personnel de l’entreprise de l’embauche au licenciement en passant par le badge d’accès ;
– ce qui concerne les clients habituels de l’entreprise, qu’ils soient des clients internet ou non, et dont le nom ou les coordonnées est indiqué dans un fichier numérique ;
– ce qui concerne les fournisseurs dont le nom ou les coordonnées est indiqué dans un fichier numérique.
Dans ce registre, il faut créer une fiche pour chaque base de données en indiquant pour chacune :
– Sa finalité (ex. : facturation et fidélisation client ; gestion paie des salariés, etc) ;
– Les catégories de données utilisées (exemple pour la paie : nom, prénom, date de naissance, salaire, etc.) ;
– Le nom et la qualité de(s) la personne(s) qui a/ont accès aux données (le destinataire – exemple : service chargé du recrutement, service informatique, direction, prestataires, partenaires, hébergeurs) ;
– La durée de conservation de ces données (par exemple : durée d’engagement du salarié + 5 ans après le départ ; fichier de prospection 3 ans max ; fichiers clients 5 max après la dernière commande).
Une fois constitué ce registre est placé sous la responsabilité du dirigeant de l’entreprise et il doit pouvoir être communiqué à la CNIL ou à toute juridiction en faisant la demande, sans délai.
2) ETAPE 2 : Faire le tri ou vérifier l’organisation des données
En principe, l’étape d’organisation logique de l’étape 1 doit logiquement vous conduire à organiser vos données (votre répertoire téléphonique, par exemple) et l’organisation de vos bases de données par catégories…. Et donc à faire un tri de vos données, y compris en supprimant les données sensibles et en vérifiant qui y a accès et comment.
Cela parait au moins aussi fastidieux que l’étape 1, mais cela peut se faire plus rapidement que vous ne l’imaginez, grâce aux outils numériques, et cela vous aidera pour l’avenir car c’est un facteur de valorisation de vos données notamment sur vos clients et vos prospects.
Attention ! si toutefois le tri et la vérification des données est obligatoire, il n’est pas nécessairement obligatoire de réorganiser entièrement les carnets d’adresses de l’entreprise (cela dépend de qui accède aux données et comment) ! En revanche, il est obligatoire de démontrer que vous pouvez à tout moment autoriser ou interdire l’accès à tel ou tel fichier pour des raisons de sécurité et de confidentialité à tout membre de votre entreprise ou prestataire extérieur et que le responsable des données désigné au registre RTD a bien la main pour le faire.
Les outils numériques de CRM, comptabilité, de gestion de paie, de partage de contacts et d’agendas en ligne permettent en principe tous ce type d’organisation et de partage contrôlé : c’est à vous qu’il appartient de vérifier comment, par qui et pour quoi.
Et en tout état de cause, le couperet ne tombant pas le 26 mai 2018, peut-être pouvez vous organiser vos données au fur et à mesure.
3) ETAPE 3 : Informer les personnes visées, recueillir leur consentement et respecter leurs droits
A l’occasion de la constitution du registre « RTD« , informer les personnes visées par ces fichiers et recueillir leur consentement.
Avant de demander leur autorisation à poursuivre le traitement, il faut impérativement informer les personnes comprises dans les fichiers de l’entreprise de la collecte de leur données personnelles, du traitement qui en est fait, de qui y accède, de combien de temps vous les conserverez et comment ils peuvent s’opposer au traitement qui est fait de leur données, sans oublier de préciser les conséquences de leur suppression dudit fichier (si cette suppression est possible et légitime, ce qui n’est pas toujours le cas, comme pour les salariés, par exemple, dont le traitement des salaires peut se poursuivre de manière informatique, dans la mesure où les données traitées sont légitimes, évidemment).
Comment ? Tout simplement en adressant un mailing, par exemple, aux intéressés, pour recueillir leur consentement via un formulaire internet.
Superbe avantage de l’opération : cela peut vous permettre de remettre à jour vos données et de renouveler un fichier avec des données neuves pour 3 ou 5 ans selon les cas.
4) ETAPE 4 : Sécuriser les données et tenir les fichiers à jour
Pour sécuriser les données, pas de secret : il faut limiter l’accès et la modification potentielle des fichiers par des mots de passe et protéger les données (régulièrement mises à jour) par un logiciel anti-virus lui aussi à jour.
Les précisions quant au logiciel anti-virus utilisé et quant à la complexité des mots de passe doivent figurer dans le RTD car c’est un facteur de transparence sur la sécurité apportée vos fichiers : il faut en effet garder à l’esprit que le but est d’être transparent sur la sécurité et la confidentialité des données dont vous avez la responsabilité.
Bien entendu, la sécurisation des données peut passer par le fait de confier l’audit des fichiers de l’entreprise et la gestion du registre RTD à un ancien « CIL » (Correspondant Informatique et Liberté) qui deviendra désormais le « Délégué à la Protection de Données » (DPO), de son nouveau nom.
Bon à savoir : le DPO n’est obligatoire que ; si un ou plusieurs des traitements de données personnelles est faite en vertu d’une autorité ou par une personne publique ; ou si les opérations et traitements sont faits à grande échelle ; ou si les données traitées sont considérées comme « sensibles » ou font l’objet de transfert en dehors de l’Union Européenne (y compris au sein du même groupe de sociétés).
Par conséquent, si vous êtes une TPE/PME nationale qui ne collecte que des emails et des numéros de téléphones de clients et prospects sans autre particularité et sans données sensibles, à petite ou moyenne échelle, vous n’êtes pas concerné par l’obligation de désignation d’un DPO.
Le fait de donner mandat à ce DPO implique que l’entreprise doit le rémunérer pour sa mission, mais également satisfaire à ses recommandations en termes de pratiques, usages, sécurisation des données. Dans ce cas, c’est le DPO qui tiendra le RTD à jour pour l’entreprise.
A défaut, c’est le chef d’entreprise qui en assume les responsabilités.
Consulter mon profil Avocat.frNos derniers articles
Le Brevet Unitaire (BU) et sa Juridiction de l’Union Européenne (JUB) sont définitivement lancés !
Lire la suite »Les loteries publicitaires
Lire la suite »Toute reproduction ou déplacement d’un texte déjà publié et de plus de trois (3) mois est constitutive d’une nouvelle publication
Lire la suite »La confirmation du monopole conféré au PMU sur les paris » en dur » hors hippodromes
Lire la suite »Domaines
Nos mots clés