Le RGPD (Règlement Général sur la Protection des Données) est entré en vigueur en mai 2018. On entend beaucoup parler des Google, Facebook, Microsoft, etc. pourtant les TPE/PME sont elles aussi concernées.

Qu'est-ce qu'une donnée personnelle ?

Il s'agit de toute information permettant d'identifier, directement ou indirectement une personne.
Exemple : prénom, nom, adresse mail

Votre entreprise est-elle concernée ?

Vous êtes concerné par ces obligations si vous collectez des données sur vos clients ou prospects, par le biais de votre site internet ou non. Vous êtes également concerné dès que vous avez un salarié.

Comment se mettre en conformité ?

Une étude Opinionway pour Captain Contrat indiquait à la fin de l’année 2018 que 47% des TPE/PME concernées par le RGPD ne savaient pas comment se mettre en conformité. Heureusement, Captain Contrat est là pour vous accompagner.

Les étapes recommandées

1. Constituer un registre de traitement de vos données

Ce document vous permettra de recenser tous vos fichiers et d’avoir une vision d’ensemble des données que vous collectez. Cela regroupe toutes les données personnelles.

Ce registre doit inclure diverses informations sur les données collectées : l’objectif poursuivi, les catégories de données, les personnes ayant accès à ces données, la durée de conservation des données.
Cette étape peut être réalisée seul(e).

2. Trier les données

La constitution du registre précédemment cité vous permet d’identifier les données dont votre société n’a pas ou plus l’utilité afin de cesser leur collecte. De plus, cela vous permet d’identifier que seules les personnes ayant besoin desdites données y ont accès.
Cette étape peut être réalisée seul(e).

3. L’information des personnes

Les moyens de collectes des données doivent comporter des mentions d’informations. Certaines de ces mentions sont obligatoires : la finalité de la collecte, l’autorisation de la collecte, la durée de conservation, les modalités pour ces personnes d’en demander la suppression.

Le droit à la suppression des données est fondamental, il est dès lors nécessaire de réellement permettre aux personnes d’obtenir la suppression de leurs données.

Le RGPD inclut également l’obligation de rédiger une politique de confidentialité devant être accessible depuis votre site internet et jointe à tous les contrats commerciaux.
Il est recommandé de faire rédiger la politique de confidentialité par un avocat ; Captain Contrat peut vous accompagner dans cette démarche.

4. La sécurité des données

L’accès aux données que vous conservez doit être sécurisé, tant en termes de moyens informatiques (pare-feu, antivirus) qu’en termes physiques (si vos données sont hébergées par un prestataire, il vous faut vous assurer que ce dernier est RGPD compliant).
Cette étape peut être réalisée seul(e).

Quel est le risque ?

Les principes fondamentaux de la protection des données (énoncés ci-dessus) continueront à faire l'objet de contrôles par la CNIL.
La CNIL sera cependant plus indulgente concernant les nouvelles obligations : l'entreprise engagée dans une démarche de mise en conformité, de bonne fois, pourra bénéficier de sanction plus légères voire en être exonérée selon la situation.

Avez-vous trouvé votre réponse?