Mise en conformité RGPD : Par où commencer ?

Depuis le 27 avril 2016 et l’entrée en vigueur du règlement européen général sur la protection des données à caractère personnel n° 2016/679 (RGPD), toutes les entreprises doivent revoir leur politique de traitement des données. Il s’agit aussi bien des organismes privés ou publics que de toute société dont l’activité touche aux données personnelles de citoyens européens. Pour vous assurer de la conformité de votre entreprise avec ce règlement, nous vous présentons ici la procédure à suivre.

Constituer un registre des traitements de données

Le principal but du RGPD reste de protéger la vie privée des citoyens de l’Union européenne. Pour vous y conformer, vous devez commencer par recenser tous les fichiers en rapport avec les traitements de données de votre entreprise. À cet effet, la première étape consiste à lister toutes les activités qui requièrent une collecte et un traitement d’informations à caractère personnel telles que : nom, photo, empreinte, adresse postale, numéro de téléphone, numéro de sécurité sociale, une adresse IP, identifiant de connexion informatique, etc. Les activités concernées peuvent être un recrutement, une gestion de paye, une formation, des statistiques de ventes, une gestion des clients prospects, etc.

Pour cette étape, nous vous recommandons de solliciter l’expertise d’un avocat spécialisé en rgpd et données personnelles pour n’enfreindre aucune règle. Ensuite, vous devez créer un registre avec une fiche pour chaque activité. Vous y préciserez les informations ci-après :

• Le nom et les coordonnées du chargé du traitement des données et du délégué à la protection des données ;
• Les buts ou finalités de chaque traitement ;
• Les catégories de personnes concernées et les données utilisées (nom, nationalité, adresse, etc.) ;
• Les personnes ayant accès aux données (personnes habilitées) et celles à qui elles seront transmises (les destinataires) ;
• La durée de conservation de ces données en archive ;
• Les mesures de sécurité mises en place pour la protection des données (politique des mots de passe, etc.).

Effectuer le tri des données

Avec la création du registre et des fiches, vous pourrez vous interroger sur l’utilité des données collectées et sur les besoins réels de votre entreprise. Après cela, vous devez trier toutes les fiches afin de vérifier certaines informations. Entre autres, vous devez vous assurer des points suivants :

• Les données traitées sont vraiment nécessaires pour les activités de votre entreprise ;
• Vous ne traitez pas des données « sensibles ». Et si c’est le cas, vous devez vérifier que vous avez le droit de les traiter ;
• Seules les personnes habilitées ont accès aux données dont elles ont besoin ;
• Vous respectez la durée requise pour la conservation des données.

Cette étape vous permettra d’améliorer l’ensemble de vos politiques de confidentialités et de réduire le recours à la collecte de données.

S’assurer du respect des droits des personnes concernées

Pour vous conformer au RGPD, vous devez aussi permettre à vos administrés (les personnes dont vous traitez les données) d’exercer pleinement leurs droits.

Informer les personnes concernées

Le RGPD exige à votre entreprise d’informer les administrés chaque fois que des données personnelles sont recueillies sur eux. Si elles le sont à partir d’un formulaire, par l’intermédiaire d’un téléservice ou par voie orale, les individus doivent en être informés en toute transparence. Ils doivent aussi connaitre les données concernées, les conditions d’utilisation et leurs droits. En résumé, voici les informations à fournir aux administrés :

• Les coordonnées du responsable du traitement ;
• Le but de la collecte des données ;
• L’autorisation accordée à l’entreprise pour le traitement de ces données ;
• La durée de conservation des données ;
• Les moyens d’exercice des droits des administrés ;
• Le transfert ou non des données hors de l’Union européenne.

Organiser et faciliter l’exercice des droits des administrés

Une fois les personnes concernées informées (agents, administrés, prestataires, etc.), vous devez maintenant vous assurer qu’ils puissent jouir effectivement et le plus simplement possible de leurs droits. Il s’agit notamment des droits ci-après :

• Droit d’accès : l’administré doit accéder à toutes les informations collectées sur lui ;
• Droit de rectification : il doit pouvoir modifier des informations détenues sur lui ;
• Droit d’opposition : la personne concernée peut refuser l’utilisation des données détenues sur elle ;
• Droit d’effacement : l’administré peut demander la suppression des données collectées sur elle ;
• Droit à la portabilité : il doit pouvoir récupérer dans un format ouvert et lisible les données détenues sur lui ;
• Droit à la limitation : il doit pouvoir demander à geler l’utilisation des informations détenues sur lui.

Toutefois, sachez que ces droits peuvent avoir des exceptions et des limitations spécifiques, selon la base légale du traitement et du contexte.

Sécuriser les données traitées et collectées

Pour assurer la protection et la sécurité des données détenues, vous devez prendre des mesures techniques et organisationnelles. En effet, le RGPD vous impose l’obligation légale de garantir la sécurité des données personnelles que vous collectez. Pour vous conformer donc au règlement, votre entreprise devra assurer l’intégrité de votre patrimoine de données et limiter au maximum les risques de pertes de données ou de piratage. Les mesures à mettre en place dépendront de la sensibilité des informations traitées et des risques en cas d’incident.

Pour vous aider, voici quelques vérifications à effectuer :

• La sécurisation des accès aux locaux, aux armoires et au coffre-fort ;
• La protection des comptes d’utilisateurs avec des mots de passe d’une complexité suffisante ;
• La sécurisation des postes de travail et la sensibilisation du personnel sur la protection de la vie privée ;
• La signature d’une charte informatique et la mise en place de procédures de sauvegardes régulières et de récupération des données.