GDPR pour les entreprises : 4 étapes cruciales à prendre en compte

Depuis le 25 mai 2018, la nouvelle RGPD n’a cessé de gagner en importance. Depuis ce vendredi, tous les résidents européens ont davantage de contrôle sur leurs données personnelles. En tant qu’entrepreneur, il est préférable que vous en teniez compte. Pour l’image de votre entreprise, mais aussi parce que l’Autorité de protection des données vous attend au tournant avec des amendes colossales.

Le saviez-vous ? Le nom de cette nouvelle réglementation européenne sur la protection des données est « GDPR », ou « General Data Protection Rule ». En français, cela donne « Règlement Général sur la Protection des Données ».

Voici déjà quatre choses à prendre en compte dans le cadre complexe du RGPD :

1. Connaissance de soi

La nouvelle législation vous rend responsable de la protection et de la sauvegarde des données personnelles, moyennant la maîtrise des risques éventuels. D’abord, il vous faut bien évidemment connaître les données qui circulent au sein de votre organisation. Mais également bien évaluer le risque que ces données ne parviennent dans des mains de personnes non qualifiées ou ne se perdent. Enfin, il faut connaitre quelle pourrait être la gravité d’une pareille « fuite de données ».

Par exemple : votre smartphone ouvre l’accès à un fichier dans le cloud reprenant les noms, données de contacts et données bancaires de vos clients. Si vous oubliez votre smartphone dans un shopping center, la personne qui le trouve n’aura aucune peine à deviner votre code personnel « 5555 » et à obtenir accès à ces données. Il vous faudra prendre des mesures de protection supplémentaires.

Élaborez donc avant toute chose un état des lieux au sein de votre entreprise : de qui traitez-vous les données, d’où proviennent-elles, pourquoi en avez-vous besoin, comment conservez-vous celles-ci, qui y a accès, quel délai de conservation observez-vous etc. ? Sur cette base, vous pouvez prendre des mesures de protection techniques et organisationnelles plus poussées. Associez donc sans faute un ou plusieurs spécialiste(s) informatique(s) à cet exercice RGPD.

Un exemple : une étudiante vous aidera cet été en accomplissant du travail administratif. Vous lui octroyez un login et un mot de passe distinct pour votre Intranet, et supprimez ce compte dès que le job d’étudiant a pris fin.

Enregistrez sans faute les étapes entreprises. Ce faisant, vous démontrez à l’Autorité de protection des données que vous prenez la protection des données au sérieux. L’Autorité de protection des données conseille également à chaque employeur de noter le résultat de cet exercice dans un registre de traitement, également dénommé registre des données.

Astuce : l’Autorité de protection des données met à disposition un registre de traitement gratuit sur son site, mais il existe également d’autres modèles, simplifiés, pour les PME par exemple. Quel que soit le registre utilisé, n’oubliez en aucun cas de l’actualiser à chaque changement de votre situation.

2. Vos clients & prospects

Par suite de la nouvelle réglementation, vos clients et prospects obtiennent un contrôle accru sur leurs données personnelles, et vous devez pouvoir leur garantir ces droits. Tout d’abord, vous devez informer chaque intéressé spontanément des données que vous rassemblez, de la façon dont vous les traitez et des droits dont vous disposez en ce domaine. Dans chaque communication, vous utilisez de préférence un langage clair et simple, tout en évitant les textes bien trop longs, peu significatifs ou ambigus. Le RGPD appelle cela le « devoir de transparence ».

Astuce : vous élaborez au mieux une déclaration vie privée à la mesure de votre organisation. Vous y reprenez les informations obligatoires, dans un texte facile à lire et compréhensible immédiatement. Pour les données impliquant des enfants, vous utilisez un langage adapté à leur âge.

Outre l’information spontanée, vous devez également être suffisamment réactif quand des personnes souhaitent exercer leurs droits. Et ceux-ci sont nombreux : droit de lecture, droit de correction des données, droit à l’oubli, droit à la portabilité des données, droit à la contestation… Désignez dès lors, au sein de votre organisation, une personne qui examine en temps opportun les questions « vie privée » des clients et y apporte une réponse dans les meilleurs délais. Les nouvelles règles requièrent en effet que vous donniez suite, sans retard et au plus tard dans un mois, aux requêtes de vos clients. Bien évidemment, vous pouvez également refuser certaines requêtes, telles que des questions non fondées et exagérées, ou des requêtes de suppression contraires à votre devoir de conservation légal.

Astuce : vous pouvez préparer quelques lettres standards, afin de réagir sans peine à des questions liées à la vie privée.

Pour finir, un petit mot sur l’accord. Lorsque des clients ou prospects vous donnent leur accord, vous disposez d’un motif valable de traiter des données personnelles. Vous devez bien être en mesure de prouver que l’accord a été donné activement, en connaissance des causes. Vous ne pouvez déduire un accord sur la base de petits caractères des plus discrets, de cases pré-cochées ou de l’absence d’une réaction. Sachez également qu’une personne peut retirer à tout moment son accord pour l’avenir.

Astuce : utilisez des formulaires d’accord où vous précisez clairement pour quelles données et à quelles fins vous sollicitez l’accord du client. Faites-le également pour les clients existants – si cela n’a pas encore été fait – et documentez bien le tout ! Pour des enfants âgés de moins de 16 ans, il vous faut demander l’accord des parents.

Saviez-vous qu’en plus de l’accord, il existe encore d’autres fondements juridiques tels que l’exécution d’un contrat (par ex. les données de facturation et de livraison) ou d’autres obligations légales (par ex. le partage d’informations avec les autorités) ?

3. Vos fournisseurs

Dans l’histoire RGPD, on parle de responsables finaux et de sous-traitants, soit « responsables de traitement » et de « sous-traitants ». Les responsables de traitement peuvent uniquement mobiliser des sous-traitants qui aborderont en toute sécurité les données reçues tout au long de leur mission. Quand vous partagez dès lors des données personnelles avec vos fournisseurs, il est nécessaire de convenir dans le contrat les mesures de protection nécessaires.

Astuce : vous pouvez ajouter une annexe, tant aux contrats de services existants qu’aux nouveaux, dénommée « contrat de traitement ». Le responsable du traitement peut formuler une demande en ce sens, ou le sous-traitant peut proposer cela lui-même pour démontrer son respect du RGPD.

4. L’Autorité de protection des données

La dernière phase renvoie à votre contact avec l’Autorité de protection des données.Ainsi, vous devez, en tant qu’entrepreneur, mentionner toute « fuite de données » dont des personnes pourraient subir des dommages. Si l’on évoque une fuite de données, vous pensez sans doute à des virus, des actes de piratage ou de la « ransomware ». Mais le vol d’un portable, la perte d’une clé USB non sécurisée… sont également considérés comme « fuite de données ». Après votre communication à l’Autorité de protection des données – qui doit se faire dans les 72 heures – il se peut que l’on vous demande également d’en informer la ou les personnes impliquées quand le risque de dégâts est élevé.

Astuce : préparez une communication type pour communiquer des fuites de données aux personnes concernées. La communication à « l’Autorité de protection des données » même s’effectue par le biais d’un formulaire en ligne sur le site de la Commission.

Certaines organisations doivent également appointer un DPO (Data Protection Officer). Celui-ci a pour mission d’entretenir les contacts avec « l’Autorité de protection des données » et de veiller à ce que l’organisation traite les données en ligne avec les règles RGPD. Le fait que vous ayez besoin d’un DPO, dépend de votre activité essentielle. Vous devez en nommer un si vous utilisez principalement et à large échelle des données sensibles (par ex. des données médicales), ou pratiquez à large échelle du monitoring, du profilage ou du direct marketing.

Don`t copy text!