Le RGPD est un règlement instauré dans le but d’assurer la sécurité des informations personnelles des individus. Depuis sa mise en vigueur, plusieurs entreprises ont dû se mettre en conformité avec celui-ci pour éviter d’éventuelles sanctions. S’il faut le rappeler, cette procédure est obligatoire pour toute entité, basée dans l’espace Union Européenne ou non, et manipulant les données privées des résidents. Comment procéder pour faire une mise en conformité réussie ?
Etape 1 : Établir un registre de traitement des données clients
Créer un registre est la première étape du processus car permettant d’avoir un aperçu global sur les différentes données traitées. Vous devrez, au préalable, identifier les activités principales de votre structure qui nécessitent des informations personnelles. Il s’agit par exemple du recrutement, gestion des paiements, gestion des accès, gestion des informations des clients, prospects, etc. Après, vous devrez créer, à l’intérieur de ce registre, pour chaque activité recensée, une fiche qui mentionne :
- l’objectif de cette collecte (exemple : la fidélisation des clients) ;
- les types de données (exemple : nom, prénom, date de naissance, adresse) ;
- les personnes ayant accès aux informations (exemple : service de gestion du personnel, la comptabilité, service informatique ou commercial) ;
- le temps pour lequel ces données seront conservées (durée de conservation en archive).
Ce registre créé sera placé sous la responsabilité des hauts responsables de l’entité. Pour que ce document soit exhaustif et à jour, vous devez être régulièrement en contact avec toutes les personnes concernées.
Etape 2 : Procéder au tri des données
L’étape du tri est importante car elle vous permettra de vous séparer des données qui ne sont pas foncièrement utiles : c’est le principe de minimisation. Ainsi, pour chacune des fiches du registre, vous devrez vous assurer que les données en cours de traitement sont nécessaires à vos activités. En effet, il n’est pas important de connaître le nombre d’enfants de vos clients si vous n’avez pas de service reliés à cette variable à leur faire bénéficier.
Ensuite, seules les personnes habilitées doivent avoir accès aux données et uniquement aux informations dont elles ont besoin. Vous ne devrez par ailleurs pas conserver les données pendant plus de temps que nécessaire. Enfin, minimisez les informations à traiter, en supprimant toutes celles qui sont jugées inutiles. Assurez-vous aussi que chaque personne ayant accès à un type de donnée dans votre entreprise soit qualifiée pour cela.
Etape 3 : Respectez les droits des personnes dont vous traitez les données
Le RGPD (Règlement Général pour la Protection des Données) a renforcé l’obligation de transparence et d’information envers les personnes dont vous traitez les données. Vous devrez donc les informer sur le type d’informations que vous traitez les concernant. De plus, le formulaire que vous utilisez pour collecter ces données doit comporter certaines mentions importantes. Parmi celles-ci il y a :
- la raison pour laquelle vous collectez les données
ce qui vous donne - l’autorisation de collecter ces informations (contrat, loi, etc.)
- les personnes qui ont accès aux données
- le délai pendant lequel ces informations seront conservées.
Pour ne pas vous encombrer de mentions trop longues au niveau d’un formulaire, vous pouvez d’abord émettre un premier niveau d’information. Ensuite insérez un lien qui renvoie à une politique de confidentialité ou vers une page vie privée de votre site. Ainsi, vous venez de vous acquitter de votre devoir d’obligation de transparence.
Vous devez aussi permettre aux personnes d’exercer leurs droits sur leurs données personnelles. Ils peuvent demander des informations sur les traitements de leurs informations privées, demander l’effacement des données les concernant ou demander la modification de ces derniers.
Etape 4 : Sécurisez les données traitées
Vous devez prendre toutes les mesures nécessaires pour la sécurisation des données personnelles que vous traitez. D’ailleurs, cela est une obligation stipulée dans l’article 32 du RGPD. Cette disposition est aussi dans votre intérêt car elle vous permet de protéger votre infrastructure informatique et de limiter les risques de piratages ou de pertes de données. Pour vous assurer que ces données sont bien protégées, vous devrez :
- mettre à jour de vos antivirus et logiciels
définir des mots de passe complexes ; - crypter vos données si nécessaire et faire des sauvegardes régulières pour d’éventuelles récupérations ;
- restreindre l’accès à vos locaux, aux serveurs, aux postes de contrôle ou salles informatiques, etc.
En cas de failles de sécurité, les conséquences peuvent être désastreuses pour vos clients, mais aussi pour vous.
