Les conseils de la Cnil

RGPD : ce qu’il faut faire pour se mettre en conformité

Le RGPD (Règlement Général sur la Protection des Données) entre en application le 25 mai 2018 : toutes les entreprises, sans exception, doivent se mettre en conformité. La Cnil, avec Bpifrance, a conçu un guide de sensibilisation à l’attention des TPE-PME. Y sont notamment détaillées les principales actions à mener.

Bien connaître son entreprise... et améliorer ses pratiques

Les données personnelles sont légion et le RGPD requiert que les entreprises sachent exactement lesquelles elles collectent, pour quelles raisons, combien de temps elles sont stockées et qui a accès à ces données. Plus qu’une obligation légale, la mise en conformité au RGPD va vous inciter à faire le point sur votre approche de la data et sur la transformation digitale de votre entreprise. Une opportunité pour « gagner en efficacité et en productivité », selon la Cnil.

Recenser les données collectées

Pour répondre à toutes ces questions, la Cnil conseille de recenser l’ensemble de vos fichiers contenant des données personnelles et de « créer une fiche pour chaque activité ». La Cnil propose même un modèle de registre des activités de traitement à télécharger pour créer vos propres fiches. Ce registre sera « placé sous la responsabilité du dirigeant de l’entreprise ».

Faire le tri parmi les données personnelles

Le RGPD intègre également la notion d’utilité des données : une entreprise ne doit pas collecter ou conserver des données qui ne sont pas nécessaires à ses activités internes ou externes. Il faudra donc faire le tri parmi les données en votre possession ; l’occasion d’éliminer des informations inutiles, d’ajourner des fichiers clients ou de supprimer des données dites « sensibles » que vous auriez collectées. Il faudra en outre veiller à ce que seul le personnel autorisé ait accès à ces données.

Informer les personnes concernées

Ce n’est pas un grand changement par rapport à la réglementation française : il faut informer vos clients, prospects, salariés... que vous collectez leurs données, quelles données vous collectez, pour quelle raison, pourquoi vous avez le droit de le faire et qui y a accès. Il faut également expliciter comment il est possible de faire valoir ses droits (modification, suppression...).

En cas de demande, réagissez rapidement

En matière de données personnelles, la Cnil conseille de mettre en place « un processus interne permettant d’identifier et de traiter les demandes clients dans des délais courts (1 mois maximum)  ». Votre réactivité vous permettra de renforcer votre relation-client et de « vous mettre à l’abri de critiques sur les réseaux sociaux ou de réclamations auprès de la Cnil ».

Se prémunir contre les piratages

Avec l’entrée en vigueur du RGPD, les entreprises voient leur responsabilité en cas de fuite de données renforcée, tout comme celle de leurs sous-traitants. Prenez le temps d’ausculter avec soin et d’améliorer le niveau de sécurité de votre entreprise (mots de passe complexes, accès aux locaux sécurisés, procédure de sauvegarde...). Une démarche qui peut, selon la Cnil, « être complétée par une approche assurantielle ».