GDPR pour les entreprises : 4 étapes cruciales à prendre en compte

Bonne nouvelle pour les adeptes des comptes à rebours ! Il vous suffit de taper « GDPR » dans Google et vous trouvez des dizaines de comptes à rebours reprenant la date d’échéance du 25 mai 2018. Car à partir de ce vendredi-là, chaque concitoyen européen obtient un contrôle accru sur ses données personnelles. En tant qu’entrepreneur, il vaut mieux également en tenir compte. Pour veiller à la bonne image de votre entreprise, mais également vu que la Commission de la Protection de la Vie Privée observe le tout attentivement, et ce avec la menace de sanctions et d’amendes fort élevées.

Petite astuce : la dénomination de cette nouvelle législation européenne sur la vie privée est « GDPR » ou « General Data Protection Rule ». En français, la dénomination est : « RGPD » ou « Règlement Général sur la Protection des Données ».

Ci-dessous, nous résumons l’histoire complexe du GDPR/RGPD en 4 étapes concrètes.

Étape 1 : Connaissance de soi

La nouvelle législation vous rend responsable de la protection et de la sauvegarde des données personnelles, moyennant la maîtrise des risques éventuels. D’abord, il vous faut bien évidemment connaître les données qui circulent au sein de votre organisation. Mais également bien évaluer le risque que ces données ne parviennent dans des mains de personnes non qualifiées ou ne se perdent. Enfin, il faut connaitre quelle pourrait être la gravité d’une pareille « fuite de données ».

Par exemple : votre smartphone ouvre l’accès à un fichier dans le cloud reprenant les noms, données de contacts et données bancaires de vos clients. Si vous oubliez votre smartphone dans un shopping center, la personne qui le trouve n’aura aucune peine à deviner votre code personnel « 5555 » et à obtenir accès à ces données. Il vous faudra prendre des mesures de protection supplémentaires.

Élaborez donc avant toute chose un état des lieux au sein de votre entreprise : de qui traitez-vous les données, d’où proviennent-elles, pourquoi en avez-vous besoin, comment conservez-vous celles-ci, qui y a accès, quel délai de conservation observez-vous etc. ? Sur cette base, vous pouvez prendre des mesures de protection techniques et organisationnelles plus poussées. Associez donc sans faute un ou plusieurs spécialiste(s) informatique(s) à cet exercice GDPR.

Un exemple : une étudiante vous aidera cet été en accomplissant du travail administratif. Vous lui octroyez un login et un mot de passe distinct pour votre Intranet, et supprimez ce compte dès que le job d’étudiant a pris fin.

Enregistrez sans faute les étapes entreprises. Ce faisant, vous démontrez à la Commission de la Protection de la Vie Privée que vous prenez la protection des données au sérieux. La Commission de la Protection de la Vie Privée conseille également à chaque employeur de noter le résultat de cet exercice dans un registre de traitement, également dénommé registre des données.

Astuce : la Commission de la Protection de la Vie Privée met à disposition un registre de traitement gratuit sur son site, mais il existe également d’autres modèles, simplifiés, pour les PME par exemple. Quel que soit le registre utilisé, n’oubliez en aucun cas de l’actualiser à chaque changement de votre situation.

Étape 2 : Vos clients & prospects

Par suite de la nouvelle réglementation, vos clients et prospects obtiennent un contrôle accru sur leurs données personnelles, et vous devez pouvoir leur garantir ces droits. Tout d’abord, vous devez informer chaque intéressé spontanément des données que vous rassemblez, de la façon dont vous les traitez et des droits dont vous disposez en ce domaine. Dans chaque communication, vous utilisez de préférence un langage clair et simple, tout en évitant les textes bien trop longs, peu significatifs ou ambigus. Le GDPR appelle cela le « devoir de transparence ».

Astuce : vous élaborez au mieux une déclaration vie privée à la mesure de votre organisation. Vous y reprenez les informations obligatoires, dans un texte facile à lire et compréhensible immédiatement. Pour les données impliquant des enfants, vous utilisez un langage adapté à leur âge.

Outre l’information spontanée, vous devez également être suffisamment réactif quand des personnes souhaitent exercer leurs droits. Et ceux-ci sont nombreux : droit de lecture, droit de correction des données, droit à l’oubli, droit à la portabilité des données, droit à la contestation… Désignez dès lors, au sein de votre organisation, une personne qui examine en temps opportun les questions « vie privée » des clients et y apporte une réponse dans les meilleurs délais. Les nouvelles règles requièrent en effet que vous donniez suite, sans retard et au plus tard dans un mois, aux requêtes de vos clients. Bien évidemment, vous pouvez également refuser certaines requêtes, telles que des questions non fondées et exagérées, ou des requêtes de suppression contraires à votre devoir de conservation légal.

Astuce : vous pouvez préparer quelques lettres standards, afin de réagir sans peine à des questions liées à la vie privée.

Pour finir, un petit mot sur l’accord. Lorsque des clients ou prospects vous donnent leur accord, vous disposez d’un motif valable de traiter des données personnelles. Vous devez bien être en mesure de prouver que l’accord a été donné activement, en connaissance des causes. Vous ne pouvez déduire un accord sur la base de petits caractères des plus discrets, de cases pré-cochées ou de l’absence d’une réaction. Sachez également qu’une personne peut retirer à tout moment son accord pour l’avenir.

Astuce : utilisez des formulaires d’accord où vous précisez clairement pour quelles données et à quelles fins vous sollicitez l’accord du client. Faites-le également pour les clients existants – si cela n’a pas encore été fait – et documentez bien le tout ! Pour des enfants âgés de moins de 16 ans, il vous faut demander l’accord des parents.

Saviez-vous qu’en plus de l’accord, il existe encore d’autres fondements juridiques tels que l’exécution d’un contrat (par ex. les données de facturation et de livraison) ou d’autres obligations légales (par ex. le partage d’informations avec les autorités) ?

ÉTAPE 3 : Vos fournisseurs

Dans l’histoire GDPR, on parle de responsables finaux et de sous-traitants, soit « responsables de traitement » et de « sous-traitants ». Les responsables de traitement peuvent uniquement mobiliser des sous-traitants qui aborderont en toute sécurité les données reçues tout au long de leur mission. Quand vous partagez dès lors des données personnelles avec vos fournisseurs, il est nécessaire de convenir dans le contrat les mesures de protection nécessaires.

Astuce : vous pouvez ajouter une annexe, tant aux contrats de services existants qu’aux nouveaux, dénommée « contrat de traitement ». Le responsable du traitement peut formuler une demande en ce sens, ou le sous-traitant peut proposer cela lui-même pour démontrer son respect du GDRP.

En savoir plus sur le jargon GDRP ?

ÉTAPE 4 : La Commission de la Protection de la Vie Privée

La dernière phase renvoie à votre contact avec la Commission de la Protection de la Vie Privée. Ainsi, vous devez, en tant qu’entrepreneur, mentionner toute « fuite de données » dont des personnes pourraient subir des dommages. Si l’on évoque une fuite de données, vous pensez sans doute à des virus, des actes de piratage ou de la « ransomware ». Mais le vol d’un portable, la perte d’une clé USB non sécurisée… sont également considérés comme « fuite de données ». Après votre communication à la Commission de la Protection de la Vie Privée – qui doit se faire dans les 72 heures – il se peut que l’on vous demande également d’en informer la ou les personnes impliquées quand le risque de dégâts est élevé.

Astuce : préparez une communication type pour communiquer des fuites de données aux personnes concernées. La communication à la « Commission Vie Privée » même s’effectue par le biais d’un formulaire en ligne sur le site de la Commission.

Certaines organisations doivent également appointer un DPO (Data Protection Officer). Celui-ci a pour mission d’entretenir les contacts avec la « Commission Vie Privée » et de veiller à ce que l’organisation traite les données en ligne avec les règles GDPR. Le fait que vous ayez besoin d’un DPO, dépend de votre activité essentielle. Vous devez en nommer un si vous utilisez principalement et à large échelle des données sensibles (par ex. des données médicales), ou pratiquez à large échelle du monitoring, du profilage ou du direct marketing.

Vous pouvez donc prendre de nombreuses mesures pour préparer votre organisation au GDPR.

Share on pinterest

Laisser un commentaire

Time limit is exhausted. Please reload the CAPTCHA.