Micro-entrepreneur, PME ou grandes sociétés, toutes les sociétés sont soumises à la loi RGPD à partir du moment qu’elles possèdent des données à caractère personnel.
En clair, en tant que professionnel, il faut mettre en place le RGPD afin de protéger les données personnelles des clients, partenaires, ou encore des employé.
Cela peut paraître complexe au niveau de la mise en œuvre surtout pour les petites structures.
Il me semble donc important de faire un rappel sur ce qu’est la loi RGPD, son fonctionnement et son utilité ainsi que sur sa mise en pratique au quotidien.
RGPD qu’est-ce que c’est ?
Le Règlement Général sur la Protection des Données (RGPD) est une loi européenne adoptée et promulguée en 2016, et applicable depuis le 25 mai 2018. Elle concerne tous les organismes publics ou privés ayant des informations sensibles sur des personnes habitant en Union Européenne.
Ainsi toute société, où qu’elle soit implantée dans le monde, qui possède des données sur une personne physique résidant dans l’UE est dans l’obligation légale de protéger les données à caractère personnel.
Du médecin de ville en passant par le prestataire de service en informatique, la banque, l’hypermarché ou encore le coiffeur, chaque professionnel doit garantir cette protection à ses clients, usagers, patients.
Mais qu’est-ce qu’une donnée à caractère personnel ?
Une donnée personnelle est une information relative à une personne, permettant de l’identifier, directement (Nom / prénom), indirectement (numéro de téléphone, numéro de sécurité sociale) soit par croisement d’informations.
Toutes les informations n’ont pas la même criticité, et la première précaution est de ne posséder que les informations nécessaires.
Par exepmle, un médecin de ville n’aura pas besoin de posséder les mêmes informations sur une personne que son coiffeur. Les données recueillies par le médecin sont plus sensibles que celles du coiffeur.
Par exemple : le numéro de sécurité sociale, les traitements en cours sont des informations plus sensibles que le numéro de téléphone.
Le bon sens veut également que le coiffeur n’ait pas besoin de connaître tous les antécédents médicaux (sauf allergies éventuelles) de son client ni son numéro de sécurité sociale. Il peut faire son travail sans et n’a donc aucunement besoin (ne le droit) de les demander.
Ce qui évolue par rapport à la loi de 1978 de la CNIL
Les premières lois sur la protection des données ont été constituées en France par la CNIL (Commission Nationale de l’informatique et des Libertés) en 1978. Avec la loi RGPD, il y a des évolutions sur les principes de bases comme :
- L’homogénéité de la protection des données pour toutes les entreprises et institutions publiques sur tout le territoire européen.
- L’application de cette loi à toutes les entreprises hors Europe ayant des clients en Europe. Ils doivent se conformer à la loi en vigueur en Europe.
- L’obligation des entreprises et institutions de demander le consentement aux personnes des données recueillies de manière explicite (opt-in). Par exemple : il faut dorénavant cocher les cases d’acceptation des termes et conditions. Elles étaient souvent cochées d’office auparavant (opt-out).
- La procédure de mise en place de la loi est la même pour tout le monde.
Voici un point sur comment être en règle avec la loi RGPD puisque toutes entreprises grandes, petites ou individuelles doit s’y conformer.
Ce que dit la loi RGPD pour la mise en place
Pour la mise en place de la loi RGPD, telle qu’énoncée dans les textes, il y a 6 étapes clés à suivre.
- Désigner un responsable RGPD qu’il soit interne ou externe à l’entreprise (prestataire à temps partagé). Il mettra en œuvre la procédure et sera le garant du bon fonctionnement et des mises à jour régulières.
- Analyser le recueil des données et leur gestion. Cette étape sert à déterminer ce qui existe déjà dans l’entreprise.
- Identifier les actions à mener pour améliorer votre fonctionnement. C’est le moment de prioriser les étapes pour la mise en conformité.
- Analyser les risques. Détecter les risques de fuites et à quelle étape elles peuvent avoir lieu. Déterminer les conséquences que cela peut avoir est le meilleur moyen d’augmenter la sécurité des données.
- Mettre en place une procédure interne en vue d’une amélioration continue. La mise en conformité au RGPD est une procédure qui ne s’arrête pas. Ce n’est pas un examen que l’on réussit ou que l’on échoue, mais une démarche permanente.
- Établir un document sur les procédures à suivre et relater les étapes de votre mise en conformité : c’est un registre qui résume l’avant, les améliorations et les mises à jour régulières de la mise en conformité. Ce document peut être demandé par la CNIL lors d’une enquête de vérification sur la procédure RGPD.
Afin de procéder à ces étapes, il est préférable de faire un audit. Ce dernier déterminera le niveau d’avancement sur le projet RGPD. Pour cela, l’idéal est de faire appel à un prestataire compétent en la matière.
Quelques idées pratiques pour mettre en place RGPD
Chaque professionnel doit pouvoir garantir la protection des informations personnelles de ses clients. Voici quelques conseils à mettre en place dès aujourd’hui.
- Ne demander aux clients que les informations strictement nécessaires permettant de travailler avec lui : son numéro de téléphone, les données de facturation, éventuellement son mail si c’est le mode de communication choisi pour échanger.
- Utiliser des stockages et moyens de transmissions chiffrés.
- Mettre à jour le fichier clients. Il faut supprimer les comptes inactifs.
En cas de fuite de données, il convient de prendre des mesures et de ne surtout pas faire l’autruche.
Prendre contact avec la CNIL pour connaître la marche à suivre puis prévenir les clients concernés sont les deux choses à faire en priorité.
Pour conclure
Vous l’aurez compris, la mise en place de la procédure RGPD est présente pour sécuriser les données de vos clients. Elle leur redonne le pouvoir sur les informations qu’ils ont envie de partager ou pas avec les professionnels.
En tant que consommateur, il est tout aussi important de savoir quelles données sont récoltées sur nous. Et en tant qu’entreprise, il est nécessaire d’être transparent avec vos clients concernant ce sujet.
Si vous souhaitez faire un audit sur vos procédures en matière de RGPD ou échanger sur ce sujet, n’hésitez pas à me contacter ou prendre rendez-vous directement via ce lien.
À lire aussi : https://fr.wikipedia.org/wiki/Règlement_général_sur_la_protection_des_données