Qu'est-ce qu'une donnée personnelle ?
Une donnée personnelle (ou à caractère personnel) est une information qui permet d'identifier une personne physique, directement ou indirectement. Il peut s'agir d'un nom, prénom, d'une photographie, d'une adresse e-mail, d'un numéro de téléphone, numéro de sécurité sociale… Cela peut aussi être les données numériques ou traces laissées : adresse IP, identifiant de connexion informatique, mot de passe, coordonnées GPS, etc.
Le RGPD concerne aussi bien les données brutes (la masse collectée) que les analyses qui en sont tirées, que la collecte et/ou le traitement soient manuels ou automatisés. Cela inclut les données de la clientèle mais aussi celle des salariés. Par exemple, la liste des salariés d'une entreprise est considérée comme un fichier de données personnelles.
Concrètement, cela veut dire que des tas d'actes courants, comme remplir un formulaire de contact sur un site et cocher une case pour autoriser l'entreprise à contacter la personne, sont concernés par ce dispositif.
Se préparer en six étapes
Les professionnels peuvent d'ores et déjà s'appuyer sur de nombreux outils de préparation et de mise en conformité au RGPD, disponibles sur le site internet de la Commission nationale de l'informatique et des libertés (Cnil). Une méthode en six étapes y est proposée pour mettre en oeuvre l'essentiel des mesures nécessaires pour être prêts d'ici le mois de mai prochain.
1. Désignez un pilote (un salarié ou le chef d'entreprise lui-même), qui exercera une mission d'information, de conseil et de contrôle en interne du respect de la réglementation. Ce délégué à la protection des données doit aussi coopérer avec l'autorité de contrôle, réaliser l'inventaire des traitements de données et concevoir des actions de sensibilisation. Sa désignation n'est pas obligatoire dans les TPE-PME ;
2. Cartographiez le traitement des données (de la clientèle mais aussi de vos salariés). Cela implique de bien recenser les données personnelles que vous collectez dans l'entreprise. Il faut détenir une documentation interne complète sur le traitement de ces données personnelles ;
3. Prioriser les actions. Assurez-vous que seules les données strictement nécessaires à la poursuite de vos objectifs sont collectées et traitées. La collecte doit être fondée sur une base juridique (contrat, obligation légale, intérêt légitime,…). Révisez vos mentions d'informations afin qu'elles soient conformes aux exigences du règlement (articles 12, 13 et 14). Il faut également prévoir les modalités d'exercice des droits des personnes concernées (droit d'accès, de rectification, retrait du consentement, etc.), et vérifier les mesures de sécurité mises en place ;
4. Gérer les risques. Si vous avez identifié des risques élevés pour les droits et libertés des personnes concernées, il faut mener une étude d'impact sur la protection des données (PIA) ;
5. Organiser les processus interne. Cela implique de prendre en compte la protection des données dès la conception d'une application ou d'un traitement (minimisation de la collecte de données au regard de la finalité, durées de conservation, mention d'information, recueil du consentement, etc.). Sensibiliser et organiser la remontée d'information en construisant un plan de formation et de communication auprès des collaborateurs de l'entreprise. Traiter les réclamations et les demandes des personnes concernées quant à l'exercice de leurs droits (droit d'accès, de rectification, droit à la portabilité, retrait du consentement) en définissant les acteurs et les modalités (l'exercice des droits doit pouvoir se faire par voie électronique, si les données ont été collectées par ce moyen) ;
6. Documenter votre conformité au REPD en constituant et regroupant la documentation nécessaire sur vos traitements de données personnelles.
Compte tenu de la complexité du dispositif de la RGPD pour les petites et moyennes entreprises, la Cnil élabore, en collaboration avec la Banque publique d'investissement (BPI), un guide spécialement conçu pour elles. Ce kit de démarrage, qui sera disponible en avril, va informer les TPE-PME de manière concrète sur les bonnes pratiques à mettre en oeuvre.
Publié par Pascale CARBILLET