RGPD

Sujet : actualité, Objectif : simplifier,
Préparation : soyez attentif.ve

Le RGPD est un règlement européen sur la protection des données, qui s'applique sur l'ensemble du territoire européen et pour toute la population et ressortissants européens.

Le RGPD s’adresse à toute organisation, publique et privée, qui traite des données personnelles pour son compte ou non. " Par exemple, une société établie en France, qui exporte l’ensemble de ses produits en dehors de l’Union européenne doit respecter le RGPD. De même, une société établie en dehors de l’Union européenne, proposant un site de e-commerce en français livrant des produits en France doit respecter le RGPD. "

Le texte complet :
Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016

La difficulté de la mise en conformité du RGPD pour les entreprises est fonction du nombre de données enregistrées et traitées. Si votre entreprise traite un volume de données très important, un DPD (Délégué de la Protection des Données) doit être désigné.

Dans quels cas un organisme doit-il obligatoirement désigner un délégué à la protection des données ?

Vous êtes professsionnel.le, vous avez une petite ou moyenne entreprise, les données que vous enregistrées sur vos clients, fournisseurs... ne justifient pas la nomination d'un DPD, il vous sera malgré tout nécessaire d'être en conformité avec le règlement.

Règlement européen sur la protection des données : ce qui change pour les professionnels

La CNIL (Commission Nationale de l'Informatique et des Libertés) qui existe depuis 1978 propose le téléchargement en ligne d'un GUIDE (un pdf très pratique) pour une meilleur compréhension sur la mise en conformité des entreprises en France, à compter du 25 mai 2018.

Un résumé en quelques points importants.
C'est tout votre système d'information qui est concerné, de votre ordinateur, tablette, smartphone et vos supports papiers.

1 - Recenser vos fichiers

" Identifiez les activités principales de votre entreprise qui nécessitent la collecte et le traitement de données (exemples : recrutement, gestion de la paye, formation, gestion des badges et des accès, statistiques de ventes, gestion des clients prospects, etc.). "
Et qui a accès à ces fichiers.

2 - Faire le tri

" que les données que vous traitez sont nécessaires à vos activités (par exemple, il n’est pas utile de savoir si vos salariés ont des enfants, si vous n’offrez aucun service ou rémunération attachée à cette caractéristique) "
" que vous ne conservez pas vos données au-delà de ce qui est nécessaire. "
Durée légale de conservation (exemple des factures où la durée légale est 10 ans).

3- Respecter le droit des personnes

" Les personnes dont vous traitez les données (clients, collaborateurs, prestataires, etc.) ont des droits sur leurs données, qui sont d’ailleurs renforcés par le RGPD : droit d’accès, de rectification, d’opposition, d’effacement, à la portabilité et à la limitation du traitement.

Vous devez leur donner les moyens d’exercer effectivement leurs droits. Si vous disposez d’un site web, prévoyez un formulaire de contact spécifique, un numéro de téléphone ou une adresse de messagerie dédiée. Si vous proposez un compte en ligne, donnez à vos clients la possibilité d’exercer leurs droits à partir de leur compte. "

4- Améliorer la sécurité des données de votre entreprise

" Différentes actions doivent être mises en place : mises à jour de vos antivirus et logiciels, changement régulier des mots de passe et utilisation de mots de passe complexes, ou chiffrement de vos données dans certaines situations "

En cas de difficultés, un site gouvernemental vous propose de l'aide en ligne ainsi qu'une liste de prestataires approuvés.

Votre entreprise a subi une violation de données, vous devez la signaler à la CNIL dans les 72 heures.

Une petite recommandation !

Je vous invite à effectuer des sauvegardes régulières de vos données sur disques durs amovibles - connecté par cable USB et non par wifi ou bluetooth.

Toutes les semaines, tous les 15 jours ou 1 fois par mois, sauvegardez vos dossiers/fichiers contenant vos informations professionnelles liées à l'acitivté de votre entreprise : comptabilité, fiches de paye, factures, fiches clients, documents commerciaux... sur un disque dur que vous connectez ponctuellement pour la sauvegarde. Et de ranger votre-vos disques durs dans un espace discret ou même sécurisé.

  • Les avantages :
    Si vous avez une défaillance technique ou subissez une attaque informatique type ransomware, vous serez en mesure de récupérer l'intégralité de vos données !

Si vos données sont plus conséquentes, pourquoi ne pas faire usage d'un NAS ou d'un petit serveur interne.
N'hésitez pas à demander conseils auprès de professionnels qui vous aideront dans vos choix.

L'usage du CLOUD peut être bien sûr conseillé, mais lisez bien les conditions générales d'utilisation (CGU) et les niveaux de sécurité et de responsabilité.
Choisissez plutôt un service cloud européen (pour ne pas être assujetti au droit américain : le Cloud Act)
Si vos données sont 'très' personnelles voir sensibles, le chiffrement peut être plus que recommandable.

En résumé, pour les petites entreprises :
  • Identifier vos fichiers de données personnelles : fournisseurs, salariés, clients, prospects, etc.
  • Les données que contiennent vos Dossiers / Fichiers : personnelles/professionnelles, nom, adresse, téléphones, mails, etc.
  • L'emplacement de vos fichiers :
    . Au niveau local : ordinateurs, tablettes, smartphones, disques durs, clefs USB, NAS, etc.
    . A distance : serveur web, cloud, etc.
  • Les formats de stockage : fichier Excel, Word..., base de données
  • Les protections mise en œuvre pour empêcher l'accès par des personnes non autorisées mot de passe, cryptage, coffre fort, etc.
RGPD / GDPR : On répond à vos questions avec la CNIL
Aller + loin :