Après un premier article présentant les grands principes édictés ou renforcés par le RGPD, FIDEXTRA vous propose un cheminement en cinq étapes vous permettant d’identifier les axes prioritaires de votre mise en conformité. Cet article s’adresse plus particulièrement aux dirigeants et aux cadres des TPE et PME. Il a pour objectif de vous aider à agir concrètement pour votre mise en conformité.
1- Que faire de vos vieilles données ?
La plupart d’entre vous collectiez déjà des données personnelles avant l’entrée en vigueur du RGPD et vous vous interrogez sur votre droit de les conserver. Avec le nouveau règlement européen rien ne vous oblige à les supprimer. Cependant, le RGPD est l’occasion de faire du tri dans ces données car vous devez désormais avoir une finalité précise lorsque vous collectez et conservez une donnée. Par exemple, si vous avez collecté toutes les dates de naissance de vos clients mais que cela n’est pas ou n’est plus nécessaire à la prestation rendue, supprimez-les. De la même manière, si vous avez enregistré des données sur les enfants de vos salariés mais que certaines d’entre elles ne servent ni à établir les paies ou calculer certaines cotisations sociales, ni à collecter l’impôt à la source, alors vous devez les supprimer également.
Par ailleurs, si vous traitez des données sensibles (voir article précédent), vous avez l’obligation d’effectuer des analyses d’impact sur la protection des données. Une PIA (ou analyse d’impact sur la protection des données) se réalise en interne et elle prend la forme d’un document qui regroupe les informations suivantes :
– La donnée traitée et le but du traitement ;
– Une évaluation de la nécessité de traiter cette donnée ;
– Une évaluation du risque sur les droits et les libertés des personnes concernées ;
– Les mesures envisagées pour pallier ce risque.
Si vos traitements de données sensibles ont déjà fait l’objet d’une déclaration à la CNIL, vous avez un délai de 3 ans pour réaliser vos PIA.
Enfin, ces deux principes applicables à vos anciennes données valent également pour les nouvelles. Avant de traiter de nouvelles données assurez-vous systématiquement qu’il y ait une finalité et effectuez les analyses d’impact avant de mettre en place des traitements de données sensibles.
2- Comment mettre votre site internet en conformité ?
Le premier point concerne la collecte indirecte de données : vous devez rajouter un bandeau informant l’internaute de l’utilisation de cookies par votre site internet. Ce bandeau doit informer clairement de la finalité des traitements de données effectués par les cookies, doit comporter un bouton « autoriser » et un bouton « refuser » et il doit inclure un renvoi vers vos mentions légales. De plus, il est nécessaire que vos cookies prévoient l’effacement automatique des données collectées au bout de 13 mois.
Le second point porte sur la collecte directe de données, c’est-à-dire les formulaires d’informations que le visiteur de votre site internet remplit de plein gré. Sur ce formulaire, il doit être fait mention de la durée de conservation de ces données et de la finalité du traitement de ces dernières. Le client doit signifier explicitement son accord en cochant lui-même une case sur ce formulaire (attention à ne pas pré-cocher les cases, cela serait de l’opt-in passif, ce qui est passible de sanctions). Si vous conservez l’adresse IP de votre visiteur vous devez l’en informer et lui indiquer la finalité (statistiques ou cybersécurité).
Pour ces deux types de collecte, vous devez réaliser un registre de consentement, qui recense les informations suivantes : date et heure du consentement, identité de l’utilisateur, le mode de collecte du consentement, les informations fournies à l’utilisateur préalablement à son consentement. Ce registre fait office de preuve du consentement.
Vous devez aussi modifier la page portant sur vos mentions légales et votre politique de confidentialité. Celle-ci doit comporter les éléments suivants :
– Finalité du traitement des données
– Localisation physique des données collectées
– Temps de conservation des données collectées
– Détails de qui a accès à ces données (collaborateurs, sous-traitants)
– Détails de ce à quoi l’utilisateur consent
– Les éléments juridiques qui autorisent l’entreprise à la collecte des données (articles du RGPD, loi informatique et liberté, …)
– Les mesures de sécurité prises par l’entreprise pour la protection des données
– La démarche à suivre par l’utilisateur pour retirer son consentement
– Les démarches à suivre par l’utilisateur pour consulter et/ou récupérer ses données stockées
– Les démarches à suivre par l’utilisateur pour faire rectifier ou supprimer les données collectées à son égard.
Pour les trois derniers points de la liste précédente, il est utile d’effectuer un renvoi vers la page contact de votre site, sur laquelle doit figurer une adresse mail et/ou un numéro de téléphone afin de contacter la personne responsable de ces actions dans l’entreprise. Dès lors qu’un utilisateur souhaite consulter, récupérer, rectifier ou effacer ses données, vous avez un mois pour respecter ses droits. Au-delà de ce délai, il peut saisir la CNIL.
Enfin, selon le RGPD, vous ne pouvez pas restreindre l’accès à votre service par la collecte préalable de données personnelles. Cependant, si vous proposez, par exemple, un service de devis en ligne, il paraît normal que vous ayez besoin de certaines données pour le réaliser. C’est pourquoi, il est intéressant de proposer à ceux qui ne souhaitent pas que vous collectiez leurs données via un formulaire en ligne, un autre moyen de vous contacter, comme un numéro de téléphone, par exemple.
3- Quel impact a le RGPD sur l’organisation de votre entreprise ?
En premier lieu, il convient de savoir si vous devez avoir un DPO ou non. Vous trouverez des informations détaillées à ce sujet dans l’article précédent. Dans le cas où la nomination d’un DPO n’est pas obligatoire, nous vous conseillons de nommer un responsable des données qui sera chargé d’assurer l’exercice des droits des utilisateurs en matière de données personnelles (accès, rectification, opposition, effacement, limitation de leur traitement et portabilité). Aussi, il est nécessaire que vous décriviez dans un document la procédure pour que ces droits soient respectés. Celui-ci doit décrire les étapes du processus (cela peut être synthétiser sous forme de flowchart) et mentionner les personnes responsables.
En second lieu, afin de respecter le droit de portabilité des données, il est nécessaire que toutes les données collectées de manière automatique et avec consentement préalable de l’utilisateur, le soient sous un format structuré, couramment utilisé et lisible par machine. A titre d’exemple, ces formats peuvent être XLS, XML, JSON ou CSV.
4- Comment sécuriser vos données ?
Lorsque vous collectez les données de vos clients ou de votre personnel, vous vous engagez à ce que seulement certaines personnes puissent y avoir accès. Pour le garantir, il est nécessaire que vous réguliez l’accès de vos collaborateurs aux données traitées par l’entreprise. Pour cela, chacun doit s’identifier avec un identifiant personnel et un mot de passe personnel complexe. Des autorisations spécifiques doivent être attachées à chaque identifiant personnel. Par exemple, seules les personnes en charge des offres commerciales doivent avoir accès aux dates de naissance de vos clients et seuls les employés des ressources humaines doivent pouvoir accéder aux données sur les autres salariés.
De plus, il est nécessaire que dans un document, vous décriviez vos mesures de sécurité (protection avec anti-virus, cryptage des données, sécurité des locaux et de l’accès au serveur) et les procédures en cas de violation des données. Nous vous rappelons qu’avec le RGPD vous avez l’obligation d’informer les personnes dont vous collectez les données dans les 72h suivant la détection du viol de vos données.
Enfin, il peut être intéressant que vous fassiez un bilan sur votre cybersécurité avec la société d’informatique qui vous accompagne le cas échéant. Nous reviendrons dans un prochain article sur l’importance croissante de la cybersécurité dans l’ensemble des activités.
5- Comment attester de votre conformité au RGPD ?
En cas de contrôle de la CNIL, vous devez être capable de justifier de votre conformité avec le RGPD. Vous devez donc constituer un dossier rassemblant l’ensemble des pièces attestant de cette dernière. Ainsi, votre dossier de conformité doit comporter : le registre de consentement, les analyses d’impact sur la protection des données (ou PIA), les contrats avec vos sous-traitants, la description des procédures pour l’exercice des droits des usagers, les modèles de recueil de consentement, les mentions d’informations des usagers et les procédures mises en place en cas de violation de données. Si vous avez plus de 250 salariés, vous devez créer un registre des traitements comme indiqué dans l’article précédent. Si vous effectuez des transferts de données dans des pays hors UE, vous devez également ajouter à ce dossier les autorisations reçues de la part de la CNIL et les garanties de votre partenaire.
Pour conclure, les 5 points ci-dessus reprennent les étapes prioritaires de votre mise en conformité. Ceux-ci ne sont pas exhaustifs et nous vous conseillons de vous faire accompagner par la société qui a conçu votre site internet pour sa mise en conformité et par celle qui assure la maintenance de votre parc informatique pour votre cybersécurité. La CNIL vous fournit également des exemples de mentions légales pour votre site internet, ainsi que des trames pour vos différents registres. Ses conseillers sont à votre disposition pour vous accompagner dans cette période de transition.
