Dans notre dernier volet, nous avons parlé du respect du droit des personnes. Aujourd’hui, il est temps d’aborder notre article final de cette série, la sécurité des données. Pourquoi sécuriser les données Il ne suffit effectivement pas de faire des registres beaux propres, de permettre aux utilisateurs d’agir sur leurs données et de les informer de leurs collectes pour respecter le RGPD. Cela serait un peu simple et pas vraiment utile pour ce qui est de la protection des données. Imaginer une voiture avec ceinture, airbag, etc., mais sans carrosserie, cela ne servirait pas à grand-chose pour protéger les passagers. Il en est de même avec les données personnelles. Sans un habitacle de sécurité, les registres et tout le reste sont vains. Comment sécuriser des données Vous le savez comme moi, sur le net, comme dans la vie d’ailleurs, le risque 0 n’existe pas. Ce n’est pas pour autant qu’on doive s’abstenir de prendre quelques mesures simples. Le point de base pour sécuriser vos données se résume en trois mots : Mises à jour. En effet, des mises à jour régulières de vos logiciels, sites web et évidemment antivirus vous permettent de prévenir un bon nombre de problèmes. Il s’agit ensuite de protéger l’accès à vos locaux, de penser à vous déconnecter de toutes vos applications dès que vous quittez votre bureau et surtout de verrouiller votre ordinateur dès que vous vous en éloignez. Si vous travaillez dans un open space, il existe des filtres de confidentialité à placer sur vos écrans de façon à limiter les regards indiscrets. Conseils de pro La CNIL vous donne aussi directement des conseils à ce sujet et une liste de bonnes pratiques à adopter. Pour évaluer le niveau de sécurité des données personnelles dans votre entreprise, voici quelques questions à se poser : – Les comptes utilisateurs internes et externes sont-ils protégés par des mots de passe d’une complexité suffisante ? – Les accès aux locaux sont-ils sécurisés ? – Des profils distincts sont-ils créés selon les besoins des utilisateurs pour accéder aux données ? – Avez-vous mis en place une procédure de sauvegarde et de récupération des données en cas d’incident ? CNIL, https://www.cnil.fr/fr/rgpd-par-ou-commencer Enfin, pour terminer, si malgré tout vous subissiez une perte de donnée, sachez que vous devez le signaler à la CNIL dans un délai de 72 heures. Conclusion Cet article termine notre série concernant la mise en pratique du RGPD. Nous sommes à votre disposition pour vous aider au quotidien, notamment avec notre outil RGPD et à notre audit de mise en conformité RGPD.

Pour ce troisième volet de notre série d’articles, la protection des données en pratique, nous allons aborder le respect du droit des personnes. En effet, c’est le point central du RGPD, ce pour quoi il existe. Pour rappel, n’hésitez pas à consulter nos précédents articles: La protection des données (RGPD) en pratique: Introduction La protection des données en pratique: Le tri des données Contexte historique du respect du droit des personnes Avant 2018, les droits des personnes en ce qui concerne leur vie privée, en particulier vis-à-vis des technologies digitales étaient régis de façon plus ou moins différente dans chaque pays. Certains disent qu’avant le RGPD les gens n’avaient aucun droit relatif à leurs données en ligne. Il n’en est rien, mais les disparités entre les lois de chaque nation rendaient effectivement la mise en pratique du respect du droit des personnes compliquée. Exemple : un citoyen français visite un site allemand, quelles lois s’appliquent en regard de ses données personnelles ? Le RGPD met fin à ces problèmes de juridiction en uniformisant les lois pour l’Union européenne et en précisant qu’il fait foi pour tout ressortissant de l’UE. Concernant le respect du droit des personnes, le RGPD renforce votre obligation d’information auprès de vos clients, collaborateurs, etc. en regard de la collecte et du traitement que vous faites de leurs données. La première étape Ainsi, la première étape du respect du droit des personnes consiste à faire preuve de transparence et d’informer les gens pour lesquels les données ont été récoltées. Cela s’applique, peu importe le moyen de collecte utilisé. En conséquence, une personne qui vous remet sa carte de visite doit donc être informée de ce que vous allez en faire. La CNIL liste les mentions qu’il est nécessaire d’avoir dans cette phase d’information. Pourquoi recueillir les informations Quel est le principe qui vous autorise à les collecter Qui y a accès Le temps de conservation des données Comment les personnes concernées peuvent-elles exercer leurs droits Y a-t-il un transfère des données en dehors de l’UE Évidemment, vous n’êtes pas obligé de mentionner précisément tout ça sur chaque formulaire et à chaque fois que vous prenez une carte de visite. Vous pouvez éditer une politique de confidentialité et vous contenter d’informer vos utilisateurs, contacts, clients, etc. que vous collectez leurs données et leur indiquer de se référer à la politique de confidentialité. Vous pouvez vous appuyer sur les exemples de mentions fournies par la CNIL pour vous aider. Respect du droit des personnes : deuxième étape Cette étape consiste à leur permettre d’exercer effectivement leur droit. Vous devez donc pour cela être conscient du droit qu’ils ont sur leurs données, c’est à dire : Accès Rectification Opposition Effacement Portabilité Limitation de traitement Pour l’exercice de leur droit, vous pouvez prévoir un formulaire, un numéro de téléphone ou une adresse mail qu’ils pourront utiliser au besoin et en cas de questions relatives à leurs données. Pesez à indiquer clairement ce moyen de contact. Il est évidemment judicieux qu’ils n’aient pas besoin de chercher dans toutes les pages de votre site ou dans tous les documents contractuels pour trouver cette information. Faites en sorte que votre organisation interne vous permette de répondre à leur demande dans de très courts délais. Vous avez en effet un mois maximum pour traiter toute demande relative aux données personnelles. Conclusion Le RGPD a été créé dans le but de renforcer le droit des personnes sur leurs données personnelles. Il est donc normal que le respect de ce droit soit au centre d’une stratégie de conformité avec le RGPD. Cela vous permet évidemment d’échapper à une lourde amende et des plaintes auprès de la CNIL, mais cela peut également vous éviter une mauvaise publicité, notamment sur les réseaux sociaux, et augmente la qualité de votre relation de confiance avec vos clients. Nous parlerons de sécurité des données dans notre prochain article.

Nous avions parlé dans notre article « La protection des données (RGPD) en pratique : Introduction » de l’importance de faire un listing de traitement des données, comme demandé par le RGPD. Cependant, cela ne suffit pas tout à fait pour être en règle. La protection des données en pratique : 2e étape Une fois ce listing créé, il vous faudra procéder au tri des données. Ce travail consiste à vérifier que toutes celles que vous détenez sont pertinentes et que vous avez bien le droit de les avoir. Pour effectuer cette analyse, la CNIL vous propose de réfléchir aux points suivants : Les renseignements en votre possession sont-ils nécessaires à votre activité ? Exemple : Vous avez l’adresse postale de tous vos clients. Toutefois, votre entreprise vend des contenus numériques sous forme de lien de téléchargement. L’acheteur paye en ligne et reçoit une confirmation de commande par e-mail. L’adresse n’est donc jamais utilisée. Dans ce cas, cette donnée n’est pas pertinente et doit être supprimée. Traitement des données sensibles Selon la CNIL, une donnée sensible se définit de la façon suivante : Ce sont des informations qui révèlent la prétendue origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique.  La CNIL, https://www.cnil.fr/fr/definition/donnee-sensible Concrètement, vous n’avez pas le droit de récolter dans votre formulaire de demande d’offre la couleur de peau simplement par curiosité. Vous ne pouvez conserver ces informations que si la personne a volontairement et spécifiquement exprimé son consentement, si elle les a rendues publiques, si elles permettent de protéger la vie humaine, s’il y a une autorisation de la CNIL, ou si elles se rapportent aux membres d’une association ou organisation politique, religieuse, etc. Attention toutefois concernant le dernier point : une organisation politique aura nécessairement comme données sensibles l’orientation politique de ses adhérents. Ce n’est pas pour autant qu’elle peut enregistrer leur appartenance religieuse. Accès aux données Un point fondamental de ce tri des données est de vérifier qui y a accès. Exemple : Il ne serait pas pertinent que votre secrétaire, qui s’occupe de la partie commerciale de l’entreprise, ait accès aux coordonnées bancaires des employés. En revanche, c’est une information à laquelle le préposé aux salaires doit avoir accès. Il est donc important que seules les personnes ayant légitimement besoin d’une donnée puissent y accéder. Le délai de conservation des données Vous vous en doutez, on ne peut pas conserver indéfiniment les renseignements personnels de quelqu’un. Qu’elles sont donc les règles en la matière ? Difficile ici de vous dire précisément combien de temps vous pouvez garder vos données. En effet, cela dépend de votre entreprise, des buts de leur collecte et des devoirs légaux. Par exemple, vous devrez sauvegarder les informations de facturation pendant 10 ans selon le code du commerce et cela même si une personne n’est plus cliente. Ainsi, la CNIL définit les cycles de vie des données en trois points : Les archivages ne sont pas forcément utilisés. De plus, dans le cas où ils existent seules des personnes spécialement habilitées ont le droit de les consulter. S’il est difficile de vous fournir une durée précise de conservation, vous pouvez partir du principe que vous pouvez stocker chaque donnée jusqu’à ce que l’objectif de sa collecte soit atteint. Par exemple, vous ne garderez pas les informations récoltées dans le cadre d’une proposition commerciale au-delà de la réponse négative du prospect. Pour plus de détail sur cette durée de conservation, vous pouvez consulter le guide pratique fourni par la CNIL. Le tri des données : conclusion Comme vous avez pu le constater, ce tri des données va beaucoup dépendre de votre entreprise et de vos spécificités. En revanche, si vous vous sentez perdu, nous avons la possibilité, grâce à notre partenaire, de vous aider dans vos démarches. Contactez-nous !

Depuis le 25 mai 2018, le RGPD est entré en vigueur et pour beaucoup d’entre vous c’est un peu comme de l’art abstrait. N’est-ce pas ? Chez Prestalidaire, nous mettons un point d’honneur à la protection des données. Pour nous, c’est essentiel pour une bonne relation avec tous nos interlocuteurs, du simple visiteur à nos clients. Mais concrètement le RGPD, c’est quoi ? RGPD Définition Il s’agit du règlement général sur la protection des données en vigueur au sein de l’Union européenne. D’accord, mais en clair ? C’est le texte de loi qui définit ce qui est autorisé ou interdit dans le traitement des données personnelles de vos clients, de vos prospects, de vos salariés ou même de vos futurs employés. C’est également lui qui vous indique les mesures que vous devez mettre en place au sein de votre structure. Et oui, vous avez en effet plusieurs points auxquels être attentif.  Par conséquent, nous allons, dans une suite d’articles que nous publierons durant les prochains mois, vous apporter quelques exemples, des cas concrets ainsi que des outils qui peuvent vous être utiles. Pour commencer, qui est soumis au RGPD? Comme le mentionne la CNIL sur son site, tout organisme, quels que soient sa taille, son pays d’immatriculation et son activité, peut être concerné. Le RGPD est ainsi valable pour toute structure, publique ou privée, qui traite des données personnelles pour son compte ou celui d’un tiers. Cela s’applique dès lors qu’elle est établie sur le territoire de l’Union européenne ou que son activité cible directement des résidents européens. Exemple Vous avez une petite entreprise en Suisse. Vous fabriquez et vendez vos produits uniquement en Suisse. Vos clients sont exclusivement des personnes vivant en Suisse, le RGPD ne s’applique donc pas pour eux. Cependant, si l’un de vos employés habite dans l’Union européenne, vous devez vous plier au RGPD pour cette personne. De même, vous avez une vitrine en ligne avec une analyse d’audience. Des internautes résidents en France peuvent visiter votre site. Par conséquent, vous serez, dans ce cas également, tenu de respecter le RGPD. En quoi, me direz-vous, vu qu’ils ont uniquement parcouru votre page web sans même laisser de coordonnées ? Il faut savoir qu’une personne peut être identifiée soit directement par son nom et son prénom, soit indirectement, par exemple avec son adresse IP. La protection des données (RGPD) en pratique: première étape La première chose à faire est d’analyser et de lister toutes les actions de votre organisation touchant de près ou de loin les données personnelles, que ce soit pour vos prospects, vos clients, vos fournisseurs ou encore pour votre service Ressources humaines. Comme le mentionne la CNIL, en constituant ce listing, vous aurez ainsi une vision d’ensemble sur vos traitements de données. Prenons par exemple la gestion de votre clientèle. Il vous faut énumérer chacune de vos actions. Dans ce cas, vous aurez peut-être les échanges commerciaux, la facturation, les devis, etc. Ensuite, pour chacune de ces catégories, vous pourrez lister le type de données recueillies, qui en fait quoi, comment et combien de temps elles sont stockées, et le plus important, le but d’avoir ces données. Concernant ce dernier point qui est la finalité du traitement des données, il est donc primordial de se poser à chaque fois la question : « Ai-je vraiment besoin de cette donnée ? ». Par exemple, l’envoi de newsletter ne justifie pas d’avoir le numéro de téléphone. La création de ces listings est certes fastidieuse, mais indispensable à la mise en conformité. Pour simplifier la démarche, pensez aux poupées russes. Vous partez des différents services de votre entreprise. Puis, vous les décomposez en sous-catégories, et ainsi de suite jusqu’à arriver à la plus petite catégorie possible.  Nous passerons en revue dans les prochains articles d’autres éléments à analyser pour être en règle. Comment Prestalidaire peut-elle vous aider ? Même si le RGPD en pratique vous semble un peu plus clair, vous vous demandez peut-être comment faire pour vous mettre en conformité sans perdre le temps précieux que vous consacrez à vos clients. Chez Prestalidaire, la protection des données étant un point essentiel envers nos interlocuteurs, nous pouvons vous apporter nos conseils et notre soutien ainsi que notre expertise et nos outils pour votre mise en conformité. N’hésitez pas à nous contacter pour recevoir une offre gratuite et sans engagement.