A quelques jours de son entrée en vigueur, le Règlement Général sur la Protection des données angoisse bons nombre d’entrepreneurs et de professionnels libéraux.
Alors que les grandes sociétés et leurs filiales ont commencé leur mise en conformité en avance, les TPE et PME peinent à s’y intéresser alors que la date fatidique du 25 mai 2018 approche à grands pas.
Comment se mettre rapidement en conformité lorsqu’on est une entreprise familiale ne souhaitant pas investir dans les conseils d’avocats ?
Vous en rêviez, la CNIL et Bpifrance l’ont fait ! Le 17 avril dernier, un Guide pratique de sensibilisation au RGPD pour petites et moyennes entreprises a été publié. Ce Guide a pour but d’expliquer les grandes étapes pour protéger les données personnelles de votre entreprise.
Ce Guide a comme avantage d’être à la portée de tous.
Il explique tout d’abord ce qu’est une donnée personnelle mais surtout il rassure les chefs d’entreprise : la mise en conformité reste finalement du bon sens et une organisation, et non pas un projet technique ou juridique insurmontable.
Ce Règlement encadre le traitement des données à caractère personnel sur le territoire de l’Union européenne ; c’est donc une énième harmonisation au niveau européen mais dans un nouveau domaine.
Ce Guide décrit six avantages à la mise en conformité au RGPD. Il s’agit de renforcer la confiance, d’améliorer l’efficacité commerciale de votre entreprise, de mieux gérer votre entreprise, d’améliorer la sécurité des données de votre entreprise, de rassurer vos clients et donneurs d’ordre et donc de développer votre activité, puis enfin de créer de nouveaux services.
Selon le Guide, quatre actions principales sont à mener pour entamer la mise en conformité de votre entreprise aux règles de protection des données. Toutefois, il est important de rappeler que ces actions doivent perdurer dans le temps pour être efficaces.
- La première étape est celle du recensement de vos fichiers dans un registre afin d’avoir une vision d’ensemble sur vos traitements de données à caractère personnel ;
- La seconde étape est de faire le tri dans vos données c’est-à-dire de ne garder que les données nécessaires à votre activité et de supprimer celles qui vous sont inutiles. Il est intéressant également de gérer les habilitations d’accès aux données au sein de votre personnel puis de respecter une durée de conservation raisonnable ;
- La troisième étape est de respecter les droits des personnes : il faut d’une part informer les personnes de la collecte et du traitement de leurs données puis d’autre part de leur permettre d’exercer facilement leurs droits ;
- Enfin la quatrième étape est de sécuriser vos données par la prise de mesures informatiques et physiques comme par exemple la sécurisation des locaux, le chiffrement des données et l’utilisation de mots de place complexes.
Par ailleurs, le Guide rappelle le rôle important des sous-traitants dans le traitement des données personnelles ; de nombreuses obligations pèsent désormais sur eux. Il est judicieux d’inclure des clauses relatives à la protection des données à caractère personnel et à leur sécurité, dans de nombreux contrats.
En outre, il faut être vigilant concernant les transferts de données en dehors de l’Union européenne ; le mieux est d’encadrer contractuellement ces transferts pour éviter toutes mauvaises surprises.
Enfin, si vous le souhaitez, vous pouvez désigner un Délégué à la protection des données pour qu’il vous accompagne dans une analyse approfondie du traitement de vos données.
Trois autres fiches ont également été publiées :
Pour plus de détails, consultez le fameux Guide de sensibilisation au RGPD et le site de la CNIL.
