Protection des données personnelles : avez-vous pris les mesures nécessaires ?
Toutes les entreprises qui collectent des données personnelles sont tenues de respecter la réglementation sur la protection de ces données. Les TPE et PME ne font bien entendu pas exception. En quoi consiste cette réglementation ? Quelles sont les mesures indispensables à mettre en place et comment ? Suivez le guide.
Pourquoi faut-il protéger les données personnelles ?
Les données personnelles sensibles : définition
Les données personnelles sensibles concernent des informations telles que l’identité, la santé, ou les opinions politiques d’un individu. Protéger ces données est essentiel pour garantir leur confidentialité, prévenir tout usage malveillant et maintenir la confiance de vos clients et partenaires.
Que dit la loi ?
En France, la protection des données personnelles est encadrée par la loi du 6 janvier 1978 dite « Informatique et libertés », revue à l’aune des dispositions pour le Règlement général pour la protection des données (RGPD), applicable partout en Europe depuis le 25 mai 2018.
Pour en savoir plus, la CNIL vous informe sur les droits à protection des données personnelles.
Le RGPD, qu’est-ce que c’est ?
Le RGPD est une réglementation européenne qui vise à protéger la vie privée des individus en régulant la collecte et le traitement des données personnelles. Son respect est impératif pour éviter des sanctions financières et préserver la réputation de votre entreprise.
Pour aller plus loin :
- Où en êtes-vous dans la protection des données personnelles ?
- Vérifiez la conformité RGPD de votre site web
Comment sécuriser les données personnelles collectées sur votre site ?
Commencez par protéger votre site web
La sécurité des systèmes et des réseaux est votre première ligne de défense face aux cyberattaques. Investissez dans des pare-feux, des antivirus, et réalisez de façon régulière les mises à jour de votre site internet pour assurer la robustesse de votre infrastructure.
Protéger votre site web : nos conseils
Les principales mesures à prendre
Si vous souhaitez améliorer la protection de vos données personnelles ainsi que celles de vos collaborateurs et utilisateurs, voici quelques pistes pour optimiser votre dispositif de sécurité :
- Identifiez tous vos fichiers contenant des données personnelles : examinez minutieusement vos bases de données, documents et systèmes afin de localiser et cataloguer toutes les données personnelles.
- Établissez des règles d’accès et de gestion des données : définissez des autorisations d’accès en fonction des responsabilités de chacun. Limitez l’accès aux données sensibles uniquement aux personnes qui en ont besoin.
- Collectez et conservez les seules données utiles : le RGPD est clair, vous devez limiter la conservation des données qu’à celles qui sont strictement nécessaires.
- Nommez un pilote de la protection des données : désignez une personne responsable de la conformité au RGPD, un Délégué à la Protection des Données (DPD), ou Data Protection Officer (DPO) en anglais. Cette personne pourra également se charger de la sensibilisation à la protection des données au sein de votre organisation.
- Informez les personnes de la collecte et du traitement de leurs données et assurez-vous de leurs droits d’accès, de rétractation, de suppression.
- Sécurisez vos fichiers et systèmes grâce à des mises à jour, antivirus, pare-feux : assurez-vous de maintenir votre système de sécurité à jour pour prévenir les zones de vulnérabilité.
- Choisissez des mots de passe complexes et modifiez-les régulièrement : renforcez la sécurité en utilisant des mots de passe robustes et en encourageant vos collaborateurs à les modifier périodiquement.
- Disposez d’une procédure de sauvegarde et de récupération des données en cas d’incident : préparez-vous à toute éventualité en ayant une procédure claire pour sauvegarder et récupérer les données en cas d’incident.
Protection des données personnelles : avez-vous pris les mesures nécessaires ?
L’illustration est structurée en 4 parties
La partie 1 précise que la protection des données personnelles répond à une obligation législative forte : le RGPD, Règlement Général sur la Protection des Données, entré en vigueur le 25 mai 2018
Il s’agit des données personnelles dont des exemples sont fournis dans la partie 2.
En cas de non respect, l’entreprise s’expose graduellement à :
1. une notification de la CNIL ;
2. une mise en demeure ;
3. des sanctions qui peuvent conduire à une amende jusqu’à 4% du chiffre d’affaires annuel ou 20 millions d’euros et la publication de la non-conformité.La partie 2 illustre ce qu’est une donnée personnelle, à savoir « toute information se rapportant à une personne physique identifiée ou identifiable », c’est-à-dire les :
– nom, prénom ;
– adresse e-mail ;
– adresse physique ;
– n° de téléphone ;
– n° d’identification : carte bancaire, carte d’identité, sécurité sociale, etc. ;
– origine, convictions, opinions ;
– données médicales ;
– etc.Ce sont toutes les données personnelles : celles des clients, employés ou fournisseurs de l’entreprise.
La partie 3 liste huit mesures incontournables à mettre en oeuvre pour respecter le RGPD :
1. Identifier tous vos fichiers avec des données personnelles ;
2. Établir des règles d’accès et de gestion aux données. Les données collectées doivent être répertoriées dans un registre des traitements ;
3. Collecter et conserver les seules données utiles. Pensez aussi à vérifier les pratiques de vos sous-traitants le cas échéant ;
4. Nommer un pilote de la protection des données, le DPO pour Délégué à la protection des données. Ce peut être un salarié, juriste, responsable informatique, consultant extérieur, etc. ;
5. Informer les personnes de la collecte et du traitement de leurs données, avec un droit d’accès, de rectification ou de suppression ;
6. Sécuriser vos fichiers et systèmes grâce à des MAJ, antivirus, pare-feu, etc. ;
7. Choisir des mots de passe complexes et les changer régulièrement ;
8. Disposer d’une procédure de sauvegarde et de récupération des données en cas d’incident. Dans ce cas, la CNIL doit être notifiée au plus vite dans un délai de tout risque lié à la perte ou au piratage. Si ce risque est élevé, les personnes concernées doivent en être informées dans les meilleurs délais.
La partie 4 propose quatre bonnes pratiques pour renforcer durablement la confiance de vos clients et votre relationnel.
Il s’agit de :
– la demande de consentement
– la précision de la finalité de vos actions
– le respect de la sécurité
– la transparence avec vos interlocuteursDe nombreux conseils et guides sont à retrouver sur CNIL.FR.
Venez profiter de conseils d’experts partout en France et échanger avec d’autres entrepreneurs sur leurs retours d’expérience et les bonnes pratiques numériques
Article rédigé par les experts du .fr