Ce règlement a pour but de protéger les personnes physiques de toute utilisation abusive de données les concernant.
SOMMAIRE
1 - Prendre connaissance de la réglementation
2 - Créer votre registre des traitements
3 - Évaluer les risques et les procédures à mettre en place
Depuis le 25 Mai 2018, il remplace la loi « Informatique et Liberté » en vigueur depuis 1978.
Les principes majeurs de ce règlement sont les suivants :
- Chaque entreprise Européenne doit se mettre en conformité pour l’ensemble des données personnelles qu’elle manipule. Il ne s’agit pas d’une certification qui porte sur les logiciels ou les outils utilisés par l’entreprise mais bien un travail et une responsabilité de l’entreprise. Pour preuve, même les informations détenues dans des dossiers « papier » sont concernées.
- Une donnée personnelle c’est :
- Ce qui permet d’identifier précisément une personne : nom, prénom, téléphone, email, numéros d’identification pour l’administration, la sécurité sociale …
- Toute donnée attachée à une personne identifiable : adresse personnelle, données physiques, physiologiques, économique, culturelle, voix, image…
- Chaque entreprise, quelle que soit sa taille et son métier, doit s’engager à :
- Identifier toutes les données personnelles qu’elle détient et tenir un registre des objectifs ou finalités qui en justifient la conservation : registre des données personnelles, registre des traitements et des finalités, des durées de conservation nécessaires, et suppression de toutes les données ou traitements non justifiables
- Sécuriser ces données pour éviter qu’elles ne soient utilisées à d’autres fins ou diffusées à d’autres que les utilisateurs légitimes : sécurisation technique et sécurisation des procédures, y compris des sous-traitants (outils ou structures qui traitent des données personnelles pour le compte de l’entreprise)
- Obtenir le consentement explicite des personnes concernées après les avoir informées de ces finalités et des données concernées, et être capable de rectifier, supprimer ou restituer les données personnelles à la demande d’une personne concernée : consentement explicite, droit à l’oubli, portabilité
- Informer rapidement la CNIL et toutes les personnes concernées en cas d’incident générant une diffusion non contrôlée de ces données (piratage …) : devoir d’information en moins de 72 heures
- Pour mener à bien ce projet, dans l’entreprise, il faut au minimum désigner un référent qui gèrera ce projet, et éventuellement un DPO (Data Protection Officer = responsable des données personnelles) si le métier de l’entreprise consiste à traiter à grande échelle des données personnelles.
Quelles sont les actions prioritaires à mettre en œuvre dans votre cabinet et chez vos clients ?
1 - Prendre connaissance de la réglementation
Des documents simples et clairs sont publiés par la CNIL pour faciliter la compréhension de cette réglementation.
- https://www.cnil.fr/sites/default/files/atoms/files/bpi-cnil-guide-rgpd-tpe-pme.pdf
- https://www.cnil.fr/rgpd-notions-cles-et-bons-reflexes
- https://www.cni l.fr/rgpd-passer-a-laction
Pour les professionnels de l’Expertise-Comptable, l’OEC communique régulièrement sur le sujet, a même initié une FAQ, et a récemment organisé un webinaire sur le sujet : http://www.conseil-sup-services.com/RGPD.php
Le RGPD est une véritable opportunité permettant de proposer facilement de nouvelles missions de conseil à vos clients.
Et si vous étiez le DPO de vos clients?
2 - Créer votre registre des traitements
L’essentiel est d’identifier les données personnelles détenues sur les salariés et les clients/prospects, dans toutes les formes possibles :
- Dossiers papiers
- Logiciels bureautiques (notamment les tableurs)
- Logiciels professionnels
et les documenter dans un registre des traitements (le plus facile est d’utiliser un tableur). La CNIL fournit un modèle de registre (https://www.cnil.fr/sites/default/files/atoms/files/registre-reglement-publie.xlsx ). Ce modèle n’est pas obligatoire et pourrait être simplifié dans le cas d’une TPE n’ayant que quelques salariés et un fichier de ses prospects/clients/fournisseurs, souvent sans autres informations que des données de contacts (adresses, téléphone, email).
Les risques les plus élevés pour les données personnelles sont souvent dans des fichiers tableurs disséminés sur des postes non sauvegardés et peu sécurisés (le mot de passe d’un tableur est aisément contournable). C’est pour ce type de fichiers qui contiennent des données RH ou des données clients/prospects, que le risque de divulgation est le plus élevé car il suffit d’une copie ou d’un envoi par mail, au contraire d’une base de données souvent sécurisée qui nécessite l’accès au logiciel. Un inventaire exhaustif est indispensable, et aboutit souvent à la détection d’un grand nombre de données personnelles, souvent inutiles, qui néanmoins sont réparties sur les postes de l’entreprise.
Pour les logiciels professionnels, les éditeurs de logiciels sont sensibilisés et vont généralement renforcer la sécurité ou le cryptage des données. Mais tout cela est inutile si les utilisateurs de l’entreprise se transmettent leurs mots de passe, ou bien laissent leurs postes non verrouillés en cas d’absence, ou bien si la gestion des droits utilisateurs n’est pas rigoureusement définie dans les logiciels.
L’établissement du registre des traitements peut être un gros travail selon l’activité de l’entreprise, mais c’est l’occasion de se poser un grand nombre de bonnes questions qui amèneront de la sécurité à votre entreprise, et pas uniquement vis-à-vis des données personnelles.
3 - Évaluer les risques et les procédures à mettre en place
Une fois le registre établi, il est souhaitable d’identifier les principaux risques pour l’entreprise en cas de perte ou fuite de données personnelles. Pour chacun des risques identifiés, il faudra décider de la réponse qui sera mise en œuvre le cas échéant.
Au minimum, il faut définir la procédure pour deux situations :
- Une personne demande la modification ou la suppression des données personnelles la concernant : à qui s’adresse-t-elle ?
- Un incident provoque la diffusion non souhaitée de données personnelles : comment en informer les personnes concernées en moins de 72 heures ?
4 - Nommer ÉVENTUELLEMENT un DPO (Data Protection Officer = Responsable des traitements de données personnelles)
Nommer un DPO est obligatoire pour :
- les entreprises du domaine public,
- les entreprises privées dont une activité majeure est de traiter des données personnelles (vente à distance aux particuliers, compagnies d’assurance, sites de rencontre …)
- les entreprises qui traitent des données « sensibles » (santé, judiciaire, ...).
Pour la plupart des petites entreprises, il n’est donc pas obligatoire de nommer un DPO.
Cependant, et même si la nomination d’un DPO n’est pas impérative pour votre entreprise, il est recommandé de désigner un référent pour la protection des données personnelles qui tiendra à jour ses connaissances sur le sujet et gèrera les principales obligations évoquées ci-dessus.
5 - Et si je ne sais pas comment démarrer ?
Dans certains cas, il est difficile d’évaluer le travail ou les démarches à réaliser. Il est préférable alors de prendre contact avec des partenaires de confiance, telle que la CNIL, qui sauront vous orienter. De nombreuses propositions vont vous parvenir pour vous vendre des prestations d’accompagnement estampillées « RGPD ». Assurément elles ne se valent pas toutes, et, sur ce sujet sensible, la confiance est le premier critère de choix d’un partenaire.
En tant que personnes, nous sommes tous attachés à ce que nos données personnelles soit protégées.
En cohérence, il faut engager cette démarche dans toutes les entreprises qui en détiennent, afin de contribuer, chacun à son niveau, à la protection de tous.
©Burst | Unsplash
