Protection des données personnelles : avez-vous pris les mesures nécessaires ?

Protection des données personnelles : avez-vous pris les mesures nécessaires ?

L’illustration est structurée en 4 parties

La partie 1 précise que la protection des données personnelles répond à une obligation législative forte : le RGPD, Règlement Général sur la Protection des Données, entré en vigueur le 25 mai 2018

Il s’agit des données personnelles dont des exemples sont fournis dans la partie 2.

En cas de non respect, l’entreprise s’expose graduellement à :
1. une notification de la CNIL ;
2. une mise en demeure ;
3. des sanctions qui peuvent conduire à une amende jusqu’à 4% du chiffre d’affaires annuel ou 20 millions d’euros et la publication de la non-conformité.

La partie 2 illustre ce qu’est une donnée personnelle, à savoir « toute information se rapportant à une personne physique identifiée ou identifiable », c’est-à-dire les :
– nom, prénom ;
– adresse e-mail ;
– adresse physique ;
– n° de téléphone ;
– n° d’identification : carte bancaire, carte d’identité, sécurité sociale, etc. ;
– origine, convictions, opinions ;
– données médicales ;
– etc.

Ce sont toutes les données personnelles : celles des clients, employés ou fournisseurs de l’entreprise.

La partie 3 liste huit mesures incontournables à mettre en oeuvre pour respecter le RGPD :

1. Identifier tous vos fichiers avec des données personnelles ;

2. Établir des règles d’accès et de gestion aux données. Les données collectées doivent être répertoriées dans un registre des traitements ;

3. Collecter et conserver les seules données utiles. Pensez aussi à vérifier les pratiques de vos sous-traitants le cas échéant ;

4. Nommer un pilote de la protection des données, le DPO pour Délégué à la protection des données. Ce peut être un salarié, juriste, responsable informatique, consultant extérieur, etc. ;

5. Informer les personnes de la collecte et du traitement de leurs données, avec un droit d’accès, de rectification ou de suppression ;

6. Sécuriser vos fichiers et systèmes grâce à des MAJ, antivirus, pare-feu, etc. ;

7. Choisir des mots de passe complexes et les changer régulièrement ;

8. Disposer d’une procédure de sauvegarde et de récupération des données en cas d’incident. Dans ce cas, la CNIL doit être notifiée au plus vite dans un délai de tout risque lié à la perte ou au piratage. Si ce risque est élevé, les personnes concernées doivent en être informées dans les meilleurs délais.

La partie 4 propose quatre bonnes pratiques pour renforcer durablement la confiance de vos clients et votre relationnel.

Il s’agit de :
– la demande de consentement
– la précision de la finalité de vos actions
– le respect de la sécurité
– la transparence avec vos interlocuteurs

De nombreux conseils et guides sont à retrouver sur CNIL.FR.