Gestion des données personnelles : un guide pratique pour les PME
RGPD : un guide pratique publié par la CNIL
Un guide pratique pour les PME… Le guide pratique publié par la CNIL vise à expliquer en des termes simples le contenu du règlement général sur la protection des données (RGPD) et les nouvelles obligations qui en découlent et que vous devez respecter depuis le 25 mai 2018.
… identifiant les grandes étapes pour vous protéger. Ce guide pratique a identifié plusieurs grandes étapes, que vous devez respecter, afin d’être en règle vis-à-vis de la nouvelle réglementation relative à la protection des données personnelles.
6 parties. Ce guide comporte 6 parties dont les intitulés sont les suivants :
- « Pourquoi ce nouveau règlement ? »
- « Quels sont les 6 avantages pour votre PME ? »
- « Données personnelles, traitements de données : de quoi parle-t-on ? »
- « Comment passer à l’action ? »
- « La sous-traitance »
- « Traitements de données à risques : êtes-vous concerné ? »
=> Consultez le guide pratique de sensibilisation au RGPD pour les PME
RGPD : les grandes étapes identifiées par la CNIL
Les origines du RGPD. Dans un 1er temps, la CNIL explique pourquoi la réglementation a été modifiée. L’objectif est double :
- harmoniser les règles européennes afin d’offrir un cadre juridique unique aux professionnels ;
- mettre fin à la distorsion de concurrence désavantageant parfois les entreprises européennes.
Une exception française ? La CNIL rappelle ensuite qu’il n’existe pas d’exception au RGPD pour les PME françaises. Toutefois, selon leur activité, elles seront plus ou moins impactées par la nouvelle réglementation.
Qui est concerné par le RGPD ? Retenez que le RGPD met sur le même pied d’égalité les entreprises établies au sein de l’UE et celles basées hors de l’UE (dès lors que l’activité de ces entreprises cible des résidents européens).
6 avantages pour votre PME. La CNIL a identifié 6 avantages créés par le RGPD pour votre PME, à savoir :
- renforcer le lien de confiance à votre égard (respecter le RGPD permet de valoriser votre image d’entreprise sérieuse et responsable et d’améliorer votre image de marque) ;
- améliorer votre efficacité commerciale (vos fichiers prospects et clients seront à jour, vous allez donc gagner en efficacité et en productivité) ;
- mieux gérer votre entreprise (la tenue à jour de vos fichiers va vous permettre d’optimiser vos investissements) ;
- améliorer la sécurité des données de votre entreprise (les données personnelles doivent faire l’objet de mesures de sécurité particulières) ;
- rassurer vos clients et vos fournisseurs et ainsi développer votre activité (vos clients et vos fournisseurs seront rassurés si vous respectez le RGPD : vous aurez ainsi un avantage concurrentiel) ;
- créer de nouveaux services (la création de nouveaux droits par le RGPD, comme le droit à la portabilité des données, va permettre de créer de nouveaux services).
Données personnelles. Ensuite, le guide édité par la CNIL explique ce qu’est une donnée personnelle : il s’agit de « toute information se rapportant à une personne physique identifiée ou identifiable ».
Exemple.À titre d’illustration, la CNIL donne l’exemple suivant : une base marketing contenant de nombreuses informations précises sur la localisation, l’âge, les goûts et les comportements d’achat, est considérée comme un traitement de données personnelles donnant lieu au respect du RGPD.
Traitement de données personnelles. Il peut s’agir de la tenue d’un fichier clients, d’une collecte de coordonnées de prospects via un questionnaire, d’une mise à jour d’un fichier de fournisseurs, etc.
Le saviez-vous ?
La CNIL rappelle dans ce guide qu’un traitement de données personnelles n’est pas nécessairement informatisé. Le papier est également concerné par le RGPD !
Vos actions. La CNIL a identifié 4 actions principales que vous devez mener pour entamer votre mise en conformité au RGPD, à savoir :
- recensez vos fichiers ;
- faites le tri dans vos fichiers ;
- respectez les droits des personnes (droit à la portabilité des données, droit d’accès, etc.) ;
- sécurisez vos données.
Conseil. Dans son guide pratique, la CNIL conseille de demander à votre responsable informatique ou votre prestataire combien de fois vos utilisateurs activent la fonctionnalité « oubli de mot de passe » chaque année. Si ce taux est faible ou nul, c’est que votre politique de gestion des mots de passe n’est pas assez exigeante.
Évaluez votre niveau de sécurité. Il faut ici vous poser quelques questions, comme par exemple :
- les comptes utilisateurs sont-ils protégés par des mots de passe suffisamment complexes ?
- les accès aux locaux sont-ils sécurisés ?
- avez-vous mis en place une procédure de sauvegarde et de récupération des données en cas d’incident ?
Traitement de données à risques : êtes-vous concerné ? 8 traitements de données à risques font l’objet de dispositions spécifiques. Il s’agit de ceux ayant pour objet ou pour effet :
- l’évaluation d’aspects personnels ou la notation d’une personne (le scoring financier, par exemple) ;
- une prise de décision automatisée ;
- la surveillance systématique de personnes (la télésurveillance, par exemple) ;
- le traitement de données sensibles (la santé ou la biométrie, par exemple) ;
- le traitement de données concernant des personnes vulnérables (les mineurs, par exemple) ;
- le traitement à grande échelle de données personnelles ;
- le croisement d’ensembles de données ;
- l’exclusion du bénéfice d’un droit, d’un service ou d’un contrat.
Attention ! Pour la CNIL, si vos traitements de données répondent à au moins 2 de ces 9 critères, vous devez mener une analyse d’impact, avant de commencer les opérations de traitement.
Le point sur la sous-traitance. Un sous-traitant sera, par exemple, un hébergeur de données : ce dernier doit proposer à ses clients de purger automatiquement et sélectivement les données d’une base active à l’issue d’une certaine durée convenue avec vous. Le sous-traitant est tenu d’une obligation de conseil à l’égard de ses clients. Par exemple, il doit insister auprès d’eux pour les mises à jour de logiciel. Vous devez impérativement signer un contrat avec votre sous-traitant. Sachez que des exemples de clauses sont disponibles sur le site de la CNIL (https://www.cnil.fr/professionnel).
À retenir
La CNIL a mis en ligne, sur son site (www.cnil.fr), un guide pratique de sensibilisation au RGPD à destination des PME. Il identifie et explicite les grandes étapes pour que les PME protègent les données personnelles qu’elles sont amenées à collecter.