Avec la loi sur le règlement général sur la protection des données (ou RGPD et également GDPR en anglais), professionnels et même blogueur se retrouvent concernés. Mais voyons d’abord les grandes lignes du ce RGPD.
A qui s’adresse le RGPD ?
Toute entreprise qui stockera, ne serait-ce que sur un fichier excel, des données personnelles appartenant à un citoyen européen est concerné par le RGPD. Mais pas seulement, nous le verrons un peu plus loin.
Données personnelles, lesquelles ?
RGPD définit les données personnelles comme « toute information se rapportant à une personne physique identifiée ou identifiable ».
On retrouvera donc les données du type :
- Nom
- Téléphone
- Adresse ip
- Mot de passe
- Numéro de téléphone
- Numéro de client
- Etc, ….
La liste est longue, on peut y ajouter également les photos ou vidéos comportant des visages…
Et les données personnelles dites sensibles ?
Une attention toute particulière sera portée aux données dites « sensibles ». Ce type de données regroupe ce qui traitement de :
- La santé,
- L’origine ethnique,
- Les opinions politiques,
- Etc, …
La CNIL vous renseigne sur ces points de vigilance https://www.cnil.fr/fr/rgpd-points-de-vigilance
Que faut-il faire pour se mettre en conformité ?
Les éditeurs de vos logiciels de comptabilité (voir vos comptables si votre comptabilité est en ligne), de gestion commerciale vous auront déjà informé et une mise à jour ne saurait tarder.
Concernant Sage par exemple : https://www.sage.com/fr-fr/blog/rgpd-impact-experts-comptables/
Ensuite tout dépend de ce que vous faites de ces données, que ce soient celles concernant vos salariés, ou vos clients.
1 – il vous faut dans un premier temps recensez vos fichiers : le registre des activités de traitement peut vous aider à faire le point. Ce registre est prévu dans l’article 30 du RGP. Toutes les informations ici pour mener à bien cette opération https://www.cnil.fr/fr/RGDP-le-registre-des-activites-de-traitement#1_le_registre_du_responsable_de_traitement
2 – triez vos données et demander vous si elles sont indispensables à votre activité, si vous avez des données sensibles, avez-vous le droit de les traiter ?
La CNIL indique :
« 1. l’évaluation d’aspects personnels ou notation d’une personne (exemple : scoring financier) ;
2. une prise de décision automatisée ;
3. la surveillance systématique de personnes (exemple : télésurveillance)
4. le traitement de données sensibles (exemple : santé, biométrie, etc.)
5. le traitement de données concernant des personnes vulnérables (exemple : mineurs) ;
6. le traitement à grande échelle de données personnelles ;
7. le croisement d’ensembles de données ;
8. des usages innovants ou l’application de nouvelles technologies (exemple : objet connecté) ;
9. l’exclusion du bénéfice d’un droit, d’un service ou contrat (exemple : liste noire). »
Si au moins 2 de ces critères vous sont applicables, il vaut mieux faire une analyse d’impact sur la protection des données.
Les recommandations de la CNIL https://www.cnil.fr/fr/RGPD-analyse-impact-protection-des-donnees-pia
3 – respectez le droit des personnes et informez les ! A chaque collecte de données, quelque soit le support (formulaire, questionnaire, ….) certaines mentions informatives sont obligatoires.
Attention : cela signifie que le moindre site internet, même un simple blog qui comporte un formulaire de contact ou la possibilité de faire un commentaire est concerné par le RGPD. L’utilisateur doit pouvoir avoir accès à ses données, doit pouvoir les rectifier, en demander la suppression.
Sur le respect des droits des personnes : https://www.cnil.fr/fr/respecter-les-droits-des-personnes
4 – Sécuriser vos données ?
Sur votre ordinateur, avoir un antivirus ainsi qu’un firewall est déjà une première étape.
Avoir une politique de mot de passe complexe, oublier 12345, admin ou votre plaque d’immatriculation !
Les données peuvent être chiffrées, histoire de ne pas faciliter la tâche au pirate en cas de vol, ou de perte d’une clef USB contenant des données sensibles par exemple.
Pour les sites internet, quand on connait le nombre de sites qui sont piratés tous les jours parce qu’ils ne sont pas à jour, c’est une des premières questions à se poser si vous avez un site vitrine, et encore plus une boutique en ligne.
Vous avez également l’obligation de prévenir la CNIL en cas de vol, perte, en cas d’accès non autorisé à vos données dans les 72h suivant la violation. Egalement prévenir les intéressés en fonction du risque.
La CNIL a mis à disposition un PDF que l’on peut télécharger https://www.cnil.fr/sites/default/files/atoms/files/bpi-cnil-guide-rgpd-tpe-pme.pdf
Voilà déjà un premier tour du panorama, nous reviendrons en détails sur la problématique des sites internet, wordpress, joomla, ecommerce dans un second temps.
N’hésitez pas à nous contacter via le formulaire de contact si vous avez besoin de plus de précisions, d’assistance pour vous mettre en conformité.
Comment here