RGPD : à faire au minimum
Pour beaucoup le RGPD fait peur : complexe à mettre en place, lourd, incompréhensible... Démystifions la chose!
Objectifs du RGPD
Le RGPD vise fondamentalement à savoir et faire savoir comment une société traite les données nominatives de ses clients et ce qu'elle met en œuvre pour leur sécurisation.
C'est une bonne chose car cela amène à réfléchir sur ses processus internes et externes (avec des sous traitant ou des donneurs d'ordres). Par exemple : nous avons pu voir une société qui conservait ses dossiers employés dans une simple armoire, non fermée à clef, armoire située elle même dans le hall d'entrée de la société située elle au second étage et qui sous louait le rez de chaussée.
Autant dire que n'importe qui pouvait consulter les dossiers des employés!
Les grandes actions à mettre en place
- Constituez un registre de vos traitements de données
- Faites le tri dans vos données
- Respectez les droits des personnes
- Sécurisez vos données
Le registre des traitements des données
En résumé il doit mentionner pour chaque données personnelles qui fait quoi et pourquoi.
Il faut donc identifier les traitements de données personnelles, les catégories de données traitées (notamment à risque comme l'appartenance religieuses, politiques, syndicales, sexuelles, ...), les objectifs et la finalité et les acteurs internes ou externes qui traitent ces données.
Plus vous minimisez les données plus le traitement sera léger. Ainsi pour un site web posez vous la question si vous demandez la date de naissance... Cela vous sert-il à quelque chose?
Pour chaque données vous devez expliquer aux personnes auprès desquelles vous les collectez la finalité et obtenir leur consentement, sauf si celui-ci est indispensable. Ainsi dans le cadre d'un site e-commerce il est inutile d'obtenir le consentement pour collecter l'adresse car celle ci est indispensable à la bonne exécution du contrat de vente incluant la livraison.
Vous devez en plus préciser où sont stockées les données, leur durée de conservation et les mesures mises en œuvre pour leur protection (cryptage par exemple).
Le RGPD renforce également l'accès aux données par la personne : consultation, droit à l'oubli et droit de récupérer ses informations auprès de la société qui les détient. Des procédures dans ce sens doivent être mises en place.
A noter que ces obligations sont renforcées pour le mineurs : obtention du consentement des parents responsables, droit automatique à l'oubli lors de la majorité de l'enfant etc.
C'est une des documents les plus importants que vous devez créer et faire vivre, vos traitements étant susceptibles d'évoluer.
D'autres documents et procédures sont à rédiger et mettre en œuvre. La CNIL, qui gère le RGPD en France dispose de toute une documentation sur ce sujet.
Vous pouvez bien sûr également nous consulter.