Protection des données (RGPD) : 10 étapes à vérifier pour être prêt

1 – Réaliser un audit interne des données déjà collectées

Le nouveau cadre qui se met en place est particulièrement exigeant en ce qui concerne les données à caractère personnel et sensible : noms, adresse, informations médicales. Toute entreprise en possession de ces données doit clarifier la provenance, le mode de collecte et l’usage prévu de ces informations, afin de mettre à jour les documents légaux.

2 – Être transparent envers les individus sur la collecte des données

Le RGPD exige un consentement clairement demandé, spécifique, éclairé et univoque. Il ne sera plus question de précocher des cases ou de considérer une inactivité ou un silence comme étant un consentement. Ainsi, les e-mails commerciaux devront être accompagnés de boutons spécifiques de consentement ou de confirmation d’abonnement. Le droit de rétractation doit être porté à la connaissance des utilisateurs dès le départ, et être applicable facilement, notamment dans les e-mails non commerciaux (vœux pour les fêtes ou newsletters). Le consentement doit être explicitement fourni pour donner droit à une prospection ou à un échange.

3 – Informer les utilisateurs de l’usage de leurs données

Le parcours des données devra être clairement expliqué à l’utilisateur. Il ne sera pas possible de conserver des données plus longtemps que ce qui est strictement nécessaire. Les PME documenteront ces aspects dans leur déclaration de protection de la vie privée, qui doit au moins faire référence au RGPD. Les utilisateurs connaîtront ainsi la nature des données collectées, le mode de collecte, la finalité de leur traitement, le délai de conservation, les droits de la personne concernée, la procédure de réclamation et le processus appliqué en cas de transfert à un tiers.

4 – Former et sensibiliser les collaborateurs

Des séances d’information internes et étalées tout au long de l’année permettront aux collaborateurs de prendre conscience du RGPD et de son impact sur l’activité de l’entreprise. Elles doivent être enrichies d’une documentation destinée aux nouvelles recrues. Par ailleurs, les documents et les procédures internes, tels que les politiques d’usage des ordinateurs portable, des réseaux sociaux et d’Internet, les contrats de travail ou les règles des ressources humaines, doivent être mis à jour.

5 – Attester de la conformité de l’entreprise

Le RGPD exige des entreprises qu’elles prouvent leur respect de la législation, en mettant en évidence le fondement légal du recueil et du traitement des données, en documentant les procédures, et en mettant à jour la déclaration de protection de la vie privée.
Les entreprises doivent également modifier leurs Conditions Générales de Ventes et/ou les accords conclus avec les clients. Enfin, chaque PME doit penser à conclure un Contrat de Traitement de Données avec ses sous-traitants*.

6 – Assurer la possibilité de supprimer les données
à caractère personnel

Toute entreprise doit mettre en place un système pour assurer la suppression des données à caractère personnel après expiration du délai légal de conservation, ou à la demande les personnes concernées. Celles-ci ont le droit de retirer leur consentement à n’importe quel moment, le droit à l’effacement (ou « droit à l’oubli ») étant un principe clé du RGPD. Certaines conditions entraînent une obligation de suppression :
Les données à caractère personnel ne sont plus nécessaires aux fins pour lesquelles elles ont été initialement recueillies
La personne concernée retire son consentement au traitement (et il n’y a pas de justification ou d’intérêt légitime à poursuivre le traitement)Des données à caractère personnel ont été traitées de manière illégale.

7 – Élaborer une stratégie de crise

En cas d’erreur ou de violation des données, il importe d’avoir établi au préalable un plan de gestion de crise. Toute organisation dispose de 72 heures, dès qu’il y a violation de données, pour effectuer un rapport à l’autorité de protection des données compétente. Un délai qui pourrait être restreint dans certains pays, ce qui justifie la nécessité d’avoir une stratégie prévisionnelle. Dans certains cas, les individus concernés devront être informés. Plus en amont, il est judicieux de mettre en place des procédures de détection, de signalement et d’enquête sur les incidents de ce type. Les collaborateurs doivent être informés de ce qui est considéré comme étant une violation des données à caractère personnel et des mesures d’alerte prises.

8 – Vérifier et sécuriser les procédures d’accès

Les serveurs et les données à caractère personnel détenues par l’entreprise devraient être inaccessibles à toute personne qui n’a pas les autorisations nécessaires. Par ailleurs, les personnes concernées ont le droit d’accéder à leurs données à caractère personnel, de rectifier les inexactitudes, de s’opposer au traitement dans certaines circonstances ou d’effacer leurs données, dans un délai de 30 jours au lieu de 45 jours. Si l’entreprise doit traiter de nombreuses demandes d’accès, elle devra mettre en place des moyens pour les traiter plus rapidement. Une occasion d’étudier la possibilité de rendre accessibles les données en ligne pour les individus, comme le recommandent les instances officielles du RGPD dans la plupart des pays.

9 – Redoubler de vigilance sur la protection des données de mineurs

Le 25 mai 2018 va également introduire une protection spéciale pour les données à caractère personnel des enfants. Les enfants de moins de 16 ans ne peuvent pas donner de consentement licite, car ils « pourraient être moins conscients des risques, des conséquences et des garanties » d’un partage de leurs données. Ainsi, les entreprises proposant des services en ligne pour les enfants ne pourront se contenter de leur consentement : désormais, le consentement d’un parent ou d’un tuteur légal sera obligatoire pour pouvoir traiter leurs données personnelles de manière licite. Par ailleurs, les pays de l’UE, comme la Belgique et la France, sont autorisés à réduire cette limite d’âge jusqu’à l’âge de 13 ans.

10 – Vérifier la nécessité de recruter un DPD

Si le recrutement d’un délégué interne à la protection des données n’est pas obligatoire pour la majorité des PME, le groupe de travail “Article 29” recommande à toutes les entreprises de nommer quelqu’un à titre de bonne pratique.  Le délégué à la protection des données, qui doit veiller à l’application de la stratégie et du programme de conformité, peut être un consultant externe ou un collaborateur qui remplit ce rôle en plus de ses responsabilités quotidiennes, à condition qu’il possède bien les connaissances, le soutien et l’autorité pour pouvoir réellement exercer ce rôle.

*Pour rappel, un sous-traitant de données est une personne (autre qu’un employé du responsable du traitement des données) ou une entreprise qui traite les données pour le compte du responsable du traitement des données. Les prestataires de paie et de comptabilité, ou encore les entreprises d’études de marché, en sont des exemples. Les fournisseurs de cloud sont généralement aussi des sous-traitants de données.

Guillaume Broutart, Directeur France de Teamleader: Diplômé de la business school TEM (Institut Mines-Télécom) en management stratégique, Guillaume Broutart est Directeur France de Teamleader. Il a forgé son expérience dans la vente et dans le management en France et en Australie, chez Sagem (Safran) ou récemment comme Directeur Commercial chez la Fintech FIS. En septembre 2017, il rejoint Teamleader pour piloter l’implantation de la startup en France. https://www.linkedin.com/in/guillaumebroutart/