Le Règlement Général sur la Protection des Données (RGPD 2016/679 art.99 entré en vigueur le 24 mai 2016 et en application le 25 mai 2018) responsabilise les organismes publics ou privés qui traitent leurs données. Le RGPD repose sur 3 principes cardinaux, à savoir le renforcement des droits des personnes, une responsabilisation des acteurs et l’accroissement de la crédibilité de la régulation. Il encadre le traitement des données personnelles sur le territoire de l’Union Européenne. Il s’applique quelle que soit la taille de l’entreprise.
Les 4 actions principales à mener pour votre mise en conformité aux règles de protection des données, sont :
- Constituer un registre de vos traitements de données
- Faire le tri de vos données
- Respecter les droits des personnes
- Sécuriser vos données
Une « donnée personnelle » est « toute information se rapportant à une personne physique identifiée ou identifiable ». Un traitement de données personnelles est une opération, ou ensemble d’opérations, portant sur des données personnelles, quel que soit le procédé utilisé. Un traitement de données doit avoir un but, qui doit bien évidemment être légal et légitime au regard de votre activité professionnelle. Un traitement de données n’est pas nécessairement informatisé, les fichiers papier sont également concernés et doivent être protégés dans les mêmes conditions.
- Constituer un registre de vos traitements de données
Ce document vous permet de recenser tous vos fichiers et d’avoir une vision d’ensemble. Un modèle de registre est disponible sur le site de la CNIL. Le registre est placé sous la responsabilité du dirigeant de l’entreprise.
- Faire le tri dans vos données
La constitution du registre vous permet de vous interroger sur les données dont votre entreprise a réellement besoin.
- Respecter les droits des personnes
Le RGPD renforce l’obligation d’information et de transparence à l’égard des personnes dont vous traitez les données. A chaque fois que vous collectez des données personnelles, le support utilisé doit comporter des mentions d’information. Vos clients, collaborateurs, prestataires, … ont des droits sur leurs données et vous devez leur donner les moyens d’exercer leurs droits, renforcés par le RGPD : droit d’accès, de rectification, d’opposition, d’effacement, à la portabilité et à la limitation du traitement. Si vous disposez d’un site web, prévoyez un formulaire de contact spécifique, une adresse de messagerie dédiée. Si vous proposez un compte en ligne, donnez à vos clients la possibilité d’exercer leurs droits à partir de leur compte.
- Sécuriser vos données
Si le risque n’existe pas en informatique, vous devez prendre les mesures nécessaires pour garantir au mieux la sécurité des données. Vous êtes en effet tenus à une obligation légale d’assurer la sécurité des données personnelles que vous détenez.
Vous garantissez ainsi l’intégrité de votre patrimoine de données en minimisant les risques de pertes de données ou de piratage.
Les mesures à prendre, informatiques ou physiques, dépendent de la sensibilité des données que vous traitez et des risques qui pèsent sur les personnes en cas d’incident.
Pour plus d’informations, rendez-vous sur le site de la CNIL