Règlement général sur la protection des données

ENCORE A LA UNE - RGPD

Sachons rester pragmatique ...
Nous vous donnons quelques conseils adaptés aux PME, des exemples pratiques de REGISTRE, de CONDITIONS GENERALES ... A vous de jouer !

ETABLIR UN REGISTRE :

En cas de contrôle, il faut pouvoir le présenter donc autant s'y atteler. Au final, il n'est pas très compliqué à construire.
Il suffit de recenser les fichiers que vous exploitez et dans lesquels figurent des données personnelles concernant des personnes physiques.
Bien souvent, nous aurons :

  • Les salariés
  • Les partenaires de l'entreprise, à savoir prospects, clients, fournisseurs, abonnés, adresses de livraisons

Dans ce dernier cas, deux hypothèses peuvent se présenter :

  • s'il s'agit d'entreprises (personnes morales), seules les informations concernant ces éventuels contacts sont concernées
  • s'il s'agit de particuliers (personnes physique), toutes les informations personnelles (nom, adresse, téléphone ...) sont concernées

Pour vous aider, nous avons remplis à partir du modèle proposé par la CNIL un exemple de registre.
ATTENTION, IL S'AGIT D'EXEMPLES ISSUS DES APPLICATIONS QUE NOUS DEVELOPPONS POUR NOS CLIENTS, MAIS ILS PEUVENT VOUS AIDER A Y VOIR PLUS CLAIR.

Exemple de registre rempli (à télécharger)

TRIEZ VOS DONNEES :

Dans le cadre strict du RGPD, la conservation de "données personnelles" superflues, inutiles à votre activité, est fortement déconseillée.
Pour chaque "information personnelle" recueillie, il faut pouvoir justifier de leur bonne utilisation et leur finalité, de leur bonne protection …
Aussi profitez de la construction de votre registre pour vérifier :

  • Que les données personnelles que vous traitez sont bien nécessaires à votre activité
  • Que vous ne recueillez aucune information dite "sensible"
  • Que seules les personnes habilitées y ont accès
  • Que vous ne conservez pas ces données au-delà du temps nécessaire

Si des informations personnelles ne vous sont pas utiles, alors ne les recueillez plus, et le cas échéant, supprimez les de vos formulaires de collecte et de vos bases de données

INFORMEZ LES PERSONNES FICHEES :

La transparence absolue vis-à-vis des personnes fichées est le grand enjeu du RGPD. A ce titre, vous devez systématiquement donner aux personnes dont vous conservez les données (clients, salariés …) les informations suivantes :

  • Pourquoi vous collectez les données les concernant
  • Ce qui vous autorise à traiter ces données (consentement de la personne, exécution d'un contrat, respect d'une obligation légale)
  • Qui a accès aux données (service interne compétents, prestataire …)
  • Combien de temps vous les conservez
  • Les modalités selon lesquelles les personnes concernées peuvent exercer leur droit

Concernant vos partenaires (clients, fournisseurs, ...) :
Vous pouvez ajouter sur les documents à partir desquels vous collectez des données (fiche de création de compte par exemple), dans vos CGV ou CGU de votre site internet, une mention sur ce modèle, à adapter à votre cas.

Les informations recueillies sur ce formulaire (ou sur ce site) sont enregistrées dans un fichier informatisé par … (nom du détenteur du fichier – votre société par exemple) … pour … (par exemple : permettre de vous adresser des contenus adaptés à vos centres d’intérêt, gérer votre compte, conclure et exécuter nos contrats, gérer vos commandes etc.) .
Elles sont conservées pendant … (durée de conservation … ou pour la plus longue des durées nécessaires au respect des dispositions légales et réglementaires ou une autre durée compte tenu des contraintes opérationnelles telle qu'une bonne tenue de votre compte) … et sont destinées au service … (exemples : service clients, marketing, facturation, etc.).
Conformément à la loi « informatique et libertés » du 6 janvier 1978 modifiée en 2004, vous bénéficiez d’un droit d’accès et de rectification aux informations qui vous concernent, droit que vous pouvez exercer en vous adressant à … (nom de la personne ou du service + adresse et adresse mail). Vous pouvez également, pour des motifs légitimes, vous opposer au traitement des données vous concernant.

Concernant vos salariés :
Vous pouvez afficher dans vos locaux (ou insérer dans le règlement intérieur) une mention de ce type, à adapter à votre cas :

Dans le cadre du règlement général européen sur la protection des données des personnes physiques (RGPD), nous vous informons que notre société (ou le(s) service(s) [citer le nom du ou des services concernés] dispose(nt) de moyens informatiques pour la gestion de son personnel. Les informations enregistrées sont réservées à l’usage du (ou des) service(s) concerné(s) et ne peuvent être communiquées qu’aux destinataires suivants : [préciser les destinataires]. Conformément aux articles 39 et suivants de la loi No 78-17 du 6 janvier 1978 modifiée, relative à l’informatique, aux fichiers et aux libertés, toute personne peut obtenir communication et, le cas échéant, rectification ou suppression des informations la concernant, en s’adressant au service [citer le nom du service ou des services concernés]

Vous pouvez également scruter les sites Internet à forte audience. Ils ont souvent très bien étudiés et solutionnés la problématique du RGPD : ils peuvent vous inspirer !
Un exemple : https://www.hugoboss.com/fr/about-hugo-boss/privacy-statement-experience/privacy-statement-experience.html


SECURISEZ VOS DONNEES :

En cas de contrôle, vous devrez être en mesure de justifier qu'aucune personne non autorisée ne peut avoir accès aux informations personnelles que vous détenez. La première chose à faire à cet égard est de veiller à sécuriser les accès aux locaux dans lesquels se trouvent les fichiers.
Sur le plan informatique, pensez à vérifier :

  • La bonne mise à jour de vos antivirus
  • La sécurisation des accès aux données personnelles par des mots de passe (mot de passe de session, mot de passe d'accès aux logiciels, gestion des droits d'accès aux répertoires)
  • Le changement régulier des mots de passe
  • Pour les sites Internet gérant des bases de données avec des données personnelles, veillez à vous protéger au maximum contre les risques de piratage
  • Et pensez à vérifier la bonne exécution et la bonne qualité de vos procédures de sauvegarde et de récupération de données

En Conclusion

Ces actions concernent les PME qui gèrent des "fichiers basiques" (clients, prospects, fournisseurs, salariés …) ne contenant pas de "données sensibles".
Elles vous permettent de respecter l'essentiel de l'esprit de ce nouveau règlement et montreront votre bonne volonté en cas de contrôle de la CNIL. Si vous disposez de fichiers de volume important, si vous travaillez essentiellement par le biais d'Internet avec une analyse comportementale des internautes, il est alors utile de nommer un DPO.
Les principes décrits dans cet article restent effectifs : Tenir un registre des traitements, informer les personnes fichées, maîtriser et sécuriser les données.
Dernier point très important : si une personne fait valoir son droit d'accès ou de rectification des données le concernant, répondez à sa demande sans délai ! Ceci évitera qu'elle aille se plaindre auprès de la CNIL, ce qui pourrait déclencher un contrôle de leur part.

UN NOUVEAU LIEN :

Un nouveau guide sur le site de la CNIL réalisé par la CNIL et BPIfrance :
https://www.cnil.fr/fr/un-nouveau-guide-de-la-securite-des-donnees-personnelles