Le Règlement général pour la protection des données (RGPD) prévoit diverses obligations (respecter les droits des personnes, sécuriser les données traitées, ne pas récolter les données inutiles…). Pour respecter le RGPD, il est important d’effectuer une mise en conformité. Quelles sont les 4 actions principales à effectuer pour une conformité réussie ?
1/ Créer un registre de traitement des données
La première étape pour réussir votre conformité RGPD est la création d’un registre de traitement des données. Le registre de traitement de données est un document vous permettant de recenser l’intégralité de vos fichiers afin d’avoir une vue d’ensemble sur tous les traitements de données que vous effectuez.
Pour commencer la rédaction de ce document, il est important d’identifier les activités principales de votre entreprise qui nécessitent la collecte de données. Par exemple : votre processus de recrutement, la gestion des salaires, la gestion des informations sur vos prospects et vos clients, les statistiques de ventes etc.
Il faudra alors faire figurer, pour chaque activité principale :
- L’objectif poursuivi du traitement (exemple : fidélisation des prospects…)
- Les catégories de données (exemple : prénom, nom, adresse…)
- Qui peut accéder aux données (exemple : service commercial, service RH….)
- Combien de temps les données sont conservées (exemple : 1 an après la dernière communication avec un prospect)
2/ Trier les données
La seconde étape pour réussir sa mise en conformité est de trier les données. En effectuant le registre, on s’aperçoit souvent que certaines données ne sont pas nécessaires. Il est donc important de trier les données récoltées. En effet, en triant vos données, vous respecterez ainsi une obligation du RGPD : le principe de minimisation des données.
La Commission nationale de l’informatique et des libertés (Cnil) a déjà sanctionné des entreprises qui traitaient une quantité excessive de données inutiles.
3/ Respecter les droits des personnes dont les données sont traitées
La troisième phase pour réussir votre mise en conformité est de respecter les droits des personnes. Le RGPD vient renforcer certaines obligations pour les entreprises. En effet, vous devez pouvoir informer les personnes sur les données que vous traitez à leur sujet. Ainsi, lorsque vous contactez un prospect par mail avec un questionnaire, celui-ci doit comporter des mentions d’information.
Pour éviter des mentions trop longues, il est possible d’insérer un lien renvoyant à votre politique de confidentialité sur votre site internet.
Dans tous les cas, vous devez permettre aux personnes de pouvoir exercer leurs droits sur leurs données personnelles. En voici quelques exemples :
- Le droit d’accès : la personne concernée par le traitement de données peut demander les informations sur le traitement de ses données.
- Le droit à l’effacement ou « à l’oubli » : la personne peut demander l’effacement des données la concernant.
- Le droit à la rectification : la personne dont les données sont traitées peut demander à modifier celles-ci si elles sont inexactes.
4/ Sécuriser les données traitées
Enfin, l’entreprise responsable des traitements de données doit assurer la sécurité des données récoltées. Bien que le risque zéro n’existe pas en informatique, il est important de sécuriser les données personnelles que vous traitez.
En effet, c’est une obligation prévue par l’article 32 du RGPD. En cas de non-respect de cette obligation, l’entreprise s’expose à des sanctions. La Cnil a condamné une entreprise à 400 000 € d’amende car elle n’avait pas suffisamment protégé les données des utilisateurs de son site web.
Attention donc à bien respecter l’ensemble de ces obligations en tant que responsable de traitement. Une conformité réussie passe par le respect de ces 4 grandes étapes de façon continue.
