Que faut-il savoir sur le RGPD ?

RGPD Règlement général sur la protection des données

Le RGPD (Règlement Général sur la Protection des Données) entre en vigueur au 25 mai 2018, l’occasion de récapituler les nouveautés que ça comporte et les obligations des sociétés en matière de gestion des données personnelles.

Qu’est-ce que le RGPD ?

Il s’agit d’un texte européen en matière de protection des données à caractère personnel. Son objectif est d’unifier et renforcer les réglementations liées aux protections des données au sein de l’union européenne. Dans les grandes lignes, cela prend la continuité de la loi française « informatique et libertés » de janvier 1978. Cela permet par ailleurs de mieux responsabiliser les acteurs qui doivent traiter des données personnelles.

Toutes les organisations sont concernées du moment qu’elles soient établie sur l’Union Européenne et que son activité cible des résidents européens.

Qu’est-ce qu’une donnée personnelle ?

Le RGPD concerne les données personnelles, c’est-à-dire toutes les informations associées à une personne identifiable. Et l’identification d’une personne peut être faite via : un prénom/nom, un email du type prenom@email.com, un numéro de téléphone …

Astuce : un email du type « contact@email.com » ne permet pas d’identifier une personne physique et n’est donc pas une donnée personnelle.

Résumé des points de vigilances avec le RGPD

  1. Collectez uniquement les données nécessaires : pourquoi collectez-vous les données ? En avez-vous le droit ? Est-ce utile de collecter le n° de fax d’un client si vous ne l’utilisez jamais ? Les personnes concernées ont-elles données leur accord ?
  2. Respectez le droit de consultation, rectification et suppression : si une personne souhaite supprimer ses données, vous devez respecter ce droit
  3. Maîtriser les données : le partage des données doit être contrôlé pour éviter que tout le monde y ait accès
  4. Sécuriser les données : identifier les risques et assurez-vous que les bonnes pratiques de sécurités sont respectés

Comment se mettre en conformité en 5 étapes ?

1/ Identifier un responsable

Première étape la plus basique, identifiez un responsable qui se chargera de cette conformité. Ce délégué à la protection des données servira de chef d’orchestre pour aider les autres employés à comprendre ce qu’il faut faire ou non.

2/ Recenser les bases de données

Il convient de créer un registre qui listera tous les traitements de données que vous effectuez. Ce registre permet d’avoir une vue d’ensemble. Il peut simplement s’agir d’un fichier Excel qui résume chaque traitement de données, l’objectif du traitement de données, la liste des personnes qui y ont accès et la durée de conservation. Bonne nouvelle, la CNIL propose un modèle prêt à l’emploi :

Télécharger le modèle de Registre RGPD de la CNIL

3/ Faire le ménage

Une fois le registre constitué, il est temps de faire le tri. Les données que vous n’auriez pas dû collecter doivent être supprimées. Voici quelques exemples de tri à opérer :

  • Supprimer les bases de données clients que vous avez achetées (exemple : si vous avez acheté une liste de prospect)
  • Supprimer les données non nécessaires, mêmes celles sur vos employés (exemple : vous n’avez pas besoin d’enregistrer si vos employés ont des enfants)
  • Supprimer des données que vous n’exploitez plus depuis plusieurs années (exemple : est-ce vraiment utile de conserver le nom d’un client pour lequel vous n’êtes pas intervenu depuis 10 ans ?)

Pensez aussi à supprimer les accès à certaines données personnelles, de la part de personnes qui n’en ont pas besoin.

4/ Informer les droits des personnes

Lors de la collecte d’une donnée, il est nécessaire que la personne soit avertie de certains points, tels que :

  • La raison de la collecte de données. Par exemple : pouvoir travailler avec le client
  • L’autorisation de la collecte. Il peut s’agir d’une obligation légale ou alors il convient de demander le consentement de la personne
  • Les catégories qui ont accès à la donnée. Par exemple : service interne, prestataire …
  • Le temps de conservation des données.
  • Les modalités pour exercer le droit d’accès, modification, suppression. Par exemple, un formulaire ou un email
  • Si vous transférez les données hors de l’Union Européenne.

5/ Sécuriser les données

Mettez en place les bonnes pratiques de sécurité. Voici quelques recommandations basiques :

  • Utiliser des mots de passe avec une complexité suffisante
  • Créer un compte utilisateur par personne (évitez de posséder un compte à se partager entre plusieurs personnes)
  • Vérifier les niveaux de restriction entre les utilisateurs
  • Sécuriser l’accès aux locaux
  • Pensez aux sauvegardes régulières

Bon à savoir : vous devrez également informer les personnes concernées si vous avez subi un piratage informatique, de même que la CNIL, dans un délai de 72 heures après la violation de sécurité.

Organilog avant et après le RGPD

Bonne nouvelle, chez Organilog nous respections déjà de nombreux points que préconise le RGPD, tels que :

  • Le droit d’obtenir les données vous concernant
  • Le droit à la suppression des données vous concernant
  • Nos équipes étaient déjà sensibilisées à la sécurité informatique
  • Ne pas communiquer vos données à n’importe qui
  • Le droit d’être informé si nous subissions une attaque informatique (ça ne nous est jamais arrivé)

Ce qui change réellement :

  • Nous allons supprimer une fonctionnalité qui consistait à enregistrer si un email envoyé depuis la plateforme avait été lu ou non par le destinataire. En effet, il faudrait en théorie l’accord de ce destinataire pour obtenir cette information.
  • Jusqu’à présent Organilog utilisait un principe d’archivage de toutes les données, nous allons ajouter la possibilité de réellement supprimer définitivement des données.
  • Nous allons prévenir nos utilisateurs sur la raison pour laquelle nous enregistrons certaines informations telles que le numéro de téléphone (cf. pour pouvoir aider via notre support téléphonique)

Checklist de conformité chez Organilog

  • Engagement RGPD : OK, nous effectuons un suivi et avons sensibilisé nos collaborateurs.
  • Nomination obligatoire d’un délégué à la protection des données (Data Protection Officer = DPO) : OK, notre DPO est en charge du suivi de la conformité au RGPD.
  • Registre des traitements : OK, nos registres sont maintenus au quotidien
  • Consentement aux données : OK
  • Données sensibles : Nous ne gérons pas de données sensibles
  • Droit à l’effacement : OK, nous supprimons vos données si vous nous en faites la demande
  • Droit à la portabilité des données personnelles : OK, nous vous transférons vos données si vous nous en faites la demande
  • Notifications en cas de fuite de données : OK, s’il devait y avoir une faille de sécurité nous vous tiendrons informé.
  • Expertise et sécurité : OK, nous respectons les bonnes pratiques pour la sécurité
  • Modifications dans le cœur du logiciel : En cours (cf. voir paragraphe précédent)

Ce que vous devez savoir en tant que client

Voici quelques recommandations de nos équipes. Cela vous concerne principalement si vos clients sont des particuliers qui sont donc identifiables via un prénom et un nom.

  • Pensez à avoir un mot de passe suffisamment complexe
  • Créez un compte utilisateur par personne
  • L’accord des clients doit être demandé pour qu’ils figurent dans votre liste de contact
  • Inutile d’importer au sein d’Organilog des clients pour lesquels vous n’effectuez plus aucune activité depuis de nombreuses années
  • Organilog permet de filtrer les clients par ordre de création, afin de facilement pouvoir supprimer ceux pour lesquels vous n’effectuez plus aucune activité
  • Inutile de compléter des champs au sein d’Organilog dont vous n’avez pas réellement besoin. Ce n’est pas parce qu’un champ existe qu’il doit nécessairement être complété dans votre cas

Le mot de la fin

Nous souhaitons terminer sur une note positive en rassurant que la date limite du 25 mai constitue la date à laquelle vous devez avoir « commencé » à prendre en compte le RGPD. Vous devez donc au moins savoir ce que vous avez à faire pour être conforme. Certaines modifications profondes sont compliquées à mettre en place dans certaines structures. Un délai de transition de 2 ans est mis en place pour être un peu plus tolérant sur les difficultés de chacun (mais ne traînez pas).

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.