RGPD pour les petites entreprises

Pour la majorité des petites entreprises, le pragmatisme s’impose. L’état d’esprit du RGPD est d’amener les organisations vers une meilleure gestion des données personnelles dont elles disposent et ainsi de respecter la vie privée des personnes concernées. Il faut être lucide, la conformité à 100% n’existe pas et surtout, elle n’est pas un état figé. Il s’agit d’améliorer et d’entretenir cette conformité dans le temps (amélioration continue).

La CNIL, dans ses différentes ressources dédiées au RGPD pour les petites entreprises, préconise 4 actions pour entamer son chantier de conformité RGPD :

1/ Constituer un registre de vos traitements de données.

Pour cela, vous devez identifier les activités principales de votre entreprise et pour lesquelles des données personnelles sont utilisées : gestion de la paie, formation, gestion des clients et prospects, …

Pour vous aider, vous pouvez inventorier les fichiers et bases de données utilisés dans la gestion de votre organisation.

Une fois cet inventaire effectué, créez une fiche par activité avec les informations « Art. 30 » obligatoires.
La CNIL propose un modèle simplifié de registre (CNIL – Le registre des activités de traitement).

Pour vous aider, nous proposons un logiciel RGPD (Registre RGPD) accompagné d’un coaching personnalisé.

2/ Faites le tri dans vos données/fichiers

Se poser les questions :

• Ces données me sont-elles utiles pour ce traitement ? Si non, je les supprime et je ne les demande plus. La réponse « au cas où », n’en est pas une et doit être considérée comme un non.
• Combien de temps dois-je garder ces données pour mon traitement ? Au-delà de la nécessité du traitement, je supprime ces données.

3/ Respectez les droits des personnes

Le RGPD est venu renforcer les droits des personnes dont vous traitez les données et notamment l’obligation d’information et de transparence.

A chaque collecte de données personnelles (formulaire, questionnaire, …), vous devez informer les personnes sur les points suivants :

• Pourquoi vous collectez les données (« la finalité »); but de ce traitement (par exemple : recrutement, commande, …);
• Ce qui vous autorise à traiter ces données (le « fondement juridique » : consentement de la personne concernée, exécution d’un contrat, respect d’une obligation légale qui s’impose à vous, votre « intérêt légitime ») ;
• Qui a accès aux données (indiquez des catégories : les services internes compétents, un prestataire, etc.) ;
• Combien de temps vous conservez les données récoltées (exemple : « 5 ans après la fin de la relation contractuelle ») ;
• Les modalités d’exercice de droits des personnes concernées (espace personnel sur site Web, message sur une adresse e-mail dédiée, par un courrier postal à un service identifié) ;
• Existence d’un transfert des données hors de l’UE (précisez le pays et l’encadrement juridique qui maintient le niveau de protection des données).

Pour éviter des mentions trop longues au niveau d’un formulaire en ligne, vous pouvez par exemple, donner un premier niveau d’information en fin de formulaire et renvoyer à une  page d’information spécifique sur votre site Web.

4/ Sécurisez vos données

La sécurité des données est un pilier fondamental de la conformité RGPD. Sans sécurité, la conformité n’est pas possible (cf. notre article TPE/PME : conformité RGPD et cybersécurité).

Mais au-delà de la protection des données à caractère personnel, avoir les bons réflexes de sécurité permet d’améliorer la protection de votre patrimoine de données.

Parmi les bons réflexes incontournables :

• mettre à jour vos antivirus et logiciels,
• bien choisir ses mots de passe,
• chiffrer vos données dans certaines situations et
• faire des sauvegardes, sans oublier de les contrôler et d’effectuer des tests de restauration.

Vous pouvez consulter le site de la CNIL – Cybersécurité

La version actualisée du Guide de l’ANSSI La cybersécurité pour les TPE/PME en treize questions est aussi une bonne base de départ.

En attendant, pour assurer votre sécurité sur internet, vous pouvez visiter la boutique de notre partenaire En toute transparence, le lien vers Eset est un lien d’affiliation en tant que revendeur. C’est-à-dire que si vous achetez une solution chez eux, Ataraxie-IT touchera une commission.