RGPD SITE INTERNET Définition et champ d’application RGPD

1. Constituez un registre de vos traitements de données

En constituant votre registre, vous aurez une vision d’ensemble sur vos traitements de données. Identifiez les activités principales de votre entreprise qui utilisent des données personnelles (exemples recrutement, gestion de la paye, formation, gestion des badges et des accès, statistiques de ventes, gestion des clients prospects…) cf modèle de registre

Dans votre registre, créez une fiche pour chaque activité recensée, en précisant :

  • L’objectif poursuivi (exemple fidélisation)
  • Les catégories de données utilisées  (exemple pour la paie, nom,  prénom, date de naissance, salaire, IBAN…)
  • Qui a accès aux données  (exemple : service chargé du recrutement, service informatique, direction, prestataires, partenaires, hébergeurs…)
  • La durée de cnservation de ces données (durée durant laquelle les données sont utiles d’un point de vue opérationnel et durée de conservation en archive) 

Le registre est placé sous la responsabilité du dirigeant de l’entreprise.

2. Faites le tri dans vos données

Pour chaque fiche de registre créée, vérifiez que ::

  • Les données que vous traitez sont nécessaires à vos activités (par exemple, il n’est pas utile de savoir si vos salariés ont des enfants, si vous n’offrez aucun service ou rémunération attachée à cette caractéristique);
  • Vous ne traitez aucune donnée sensible ou si c’est le cas que vous avez bien le droit de les traiter ;
  • Seules les personnes habilitées ont accès aux données dont elles ont besoin
  •  Vous ne conservez pas vos données au-delà de qui est nécessaire

CONSEIL : Minimisez la collecte de données en éliminant toutes les informations utiles.

3. Respectez les droits des personnes

Le RGPD renforce l’obligation d’information et de transparence à l’égard des personnes dont vous traitez les données (clients, collaborateurs, etc.).

INFORMEZ LES PERSONNES

  • Pourquoi vous collectez les données (« la finalité » ; par exemple pour gérer l’achat en ligne du consommateur) ;
  • ce qui vous autorise à traiter ces données (le « fondement juridique » : il peut s’agir du consentement de la personne concernée, de l’exécution d’un contrat, du respect d’une obligation légale qui s’impose à vous, de votre « intérêt légitime ») ;
  • Qui a accès aux données (indiquez des catégories : les services internes compétents, un prestataire, etc.) ;
  • Combien de temps vous les conservez (exemple : « 5 ans après la fin de la relation contractuelle ») ;
  • Les modalités selon lesquelles les personnes concernées peuvent exercer leurs droits (via leur espace personnel sur votre site internet, par un message sur une adresse email dédiée, par un courrier postal à un service identifié) ;
  • Si vous transférez des données hors de l’UE (précisez le pays et l’encadrement juridique qui maintient le niveau de protection des données).

PERMETTEZ AUX PERSONNES D’EXERCER FACILEMENT LEURS DROITS

Les personnes dont vous traitez les données (clients, collaborateurs, prestataires, etc.) ont des droits sur leurs données : droit d’accès, de rectification, d’opposition, d’effacement, à la portabilité et à la limitation du traitement.

Vous devez leur donner les moyens d’exercer effectivement leurs droits. Si vous disposez d’un site web, prévoyez un formulaire de contact spécifique, un numéro de téléphone ou une adresse de messagerie dédiée. Si vous proposez un compte en ligne, donnez à vos clients la possibilité d’exercer leurs droits à partir de leur compte.

Mettez en place un processus interne permettant de garantir l’identification et le traitement des demandes dans des délais courts (1 mois au maximum).

4.  Sécurisez vos données

Si le risque zéro n’existe pas en informatique, vous devez prendre les mesures nécessaires pour sécuriser les données. Cela vous permet aussi de protéger  votre patrimoine de données en réduisant les risques de pertes de données ou de piratage. Les mesures à prendre, informatiques ou physiques, dépendent de la sensibilité des données que vous traitez et des risques qui pèsent sur les personnes en cas de d’incident.

Des réflexes doivent être mis en place : mettre à jour de vos antivirus et logiciels, bien choisir ses mots de passe, chiffrer vos données dans certaines situations et faire des sauvegardes. Les failles de sécurité ont également des conséquences pour ceux qui vous ont confié des données personnelles : Ayez à l’esprit les conséquences pour les personnes et pour votre entreprise.

Exemple : vous êtes restaurateur et vous livrez à domicile. Vos clients vous communiquent leur adresse précise et le code d’entrée de leur immeuble. Si ces informations sont piratées ou perdues, elles peuvent être utilisées pour s’introduire frauduleusement au domicile de votre client. Conséquence désastreuse pour vos clients, mais aussi pour vous !

5. Signalez à la CNIL les violations de données personnelles

Votre entreprise a subi une violation de données (des données personnelles ont été, de manière accidentelle ou illicite, détruites, perdues, altérées, divulguées ou vous avez constaté un accès non autorisé à des données) ?

Vous devez la signaler à la CNIL dans les 72 heures si cette violation est susceptible de représenter un risque pour les droits et libertés des personnes concernées. Cette notification s’effectue en ligne sur le site web de la CNIL.

« 5 6 7 8
Retour à la/au Cours
Leçon Suivante