Où en est votre RGPD ?
Le 25 mai 2018 approche....
Et question RGPD, tout est prêt ?
Si vous avez pris un peu de retard dans la mise en conformité de votre système d'enregistrement et de conservation des données personnelles de vos clients, le site de la CNIL, notamment est assez bien fait pour la bonne marche de votre procédure.
Et si cela peut aider certains ; mais aussi conforter mes clients dans l'idée que je prends bien en considération la conformité de mon système pour la sécurisation de leurs données personnelles, je vous présente ici un projet mis en place pour ma propre mise en conformité, et qui m'a servi à mettre mes démarches et procédures au clair.
Exemple de projet RGPD
PRÉSENTATION
1. Historique et description du projet
Le règlement européen sur la protection des données (GDPR en abréviation anglaise ou RGPD en abréviation française) impose d’ici mai 2018 de nouvelles contraintes aux entreprises concernant le traitement des données à caractère personnel.
2. Objectif du projet
L’objectif de l’Europe au travers du Règlement Général pour la Protection des Données est d’offrir un cadre renforcé et harmonisé de la protection des données tenant compte des récentes évolutions technologiques (Big Data, objets connectés, Intelligence Artificielle) et des défis, voire questions, qui accompagnent ces évolutions.
3. Exigences principales
L’individu est placé au cœur du dispositif RGPD qui voit ainsi ses droits sécurisés :
- Obligations d’information de la part des entreprises
- Restrictions en termes de recueil de consentement
- Droit à la portabilité des données
- Droit à l’effacement
4. Exemple de Mention éditée selon modèle de la CNIL
FORMULAIRE DE COLLECTE DE DONNÉES PERSONNELLESLes informations recueillies sur ce formulaire sont enregistrées dans un fichier informatisé par [responsable_de_traitement] pour [finalites_du_traitement] Elles sont conservées pendant [duree_de_conservation] et sont destinées [destinataires_des_donnees] Conformément à la loi « informatique et libertés », vous pouvez exercer votre droit d'accès aux données vous concernant et les faire rectifier en contactant : [service_charge_du_droit_dacces]
+ la mention Bloctel si vous collectez des données téléphoniques auprès d’un consommateur Nous vous informons de l’existence de la liste d’opposition au démarchage téléphonique « Bloctel », sur laquelle vous pouvez vous inscrire ici : https ://conso.bloctel.fr/ |
5. Principe de la RGPD
Pour chaque traitement de données personnelles, posez-vous les questions suivantes :
QUI ?
- Inscrivez dans le registre le nom et les coordonnées du responsable du traitement (et de son représentant légal) et, le cas échéant, du délégué à la protection des données ;
- Identifiez les responsables des services opérationnels traitant les données au sein de votre organisme ;
- Etablissez la liste des sous-traitants.
QUOI ?
- Identifiez les catégories de données traitées ;
- Identifiez les données susceptibles de soulever des risques en raison de leur sensibilité particulière (par exemple, les données relatives à la santé ou les infractions).
POURQUOI ?
- Indiquez la ou les finalités pour lesquelles vous collectez ou traitez ces données (exemple : gestion de la relation commerciale, gestion RH…).
Processus
6. Processus d’entreprise
Pour que votre entreprise se conforme au RGPD en 2018, il suffit de suivre la procédure suivante :
- Réaliser un inventaire des sources des données
- Réaliser un inventaire du stockage des données
- Poser par écrit les raisons du stockage des données
- Poser par écrit la justification légale du traitement et stockage des données
- Poser par écrit la méthodologie de mise à jour des données
- Voir si nécessaire à migrer vers un système permettant une gestion RGPD centralisée, sécurisée et simplifiée
7. Réaliser un inventaire du stockage des données
La question suivante est de savoir où sont stockées toutes ces données :
- Logiciel CRM
- Logiciel ERP
- Logiciel Comptable
- Logiciel de messagerie email type Outlook ou Thunderbird
- Téléphone mobile
- Fichiers Excel
- Logiciel de gestion de newsletter
- Backup X, Y et Z
- Etc...
8. Poser par écrit les raisons du stockage des données
Dans quel but l’entreprise dispose-t-elle d’une donnée ?
Est-ce (encore) nécessaire de la garder après ? S’il n’y a aucune raison précise de la garder, il faut la supprimer ou éventuellement l’anonymiser.
Vous pourriez par exemple définir que bien que vous stockiez depuis toujours les dates de naissance, vous n’en avez pas besoin. Cet audit interne vous permettra donc de recadrer votre politique d’acquisition et donc de stockage des données.
9. Poser par écrit la justification légale du traitement et stockage des données
Quel fondement juridique permet à l’entreprise de traiter cette donnée ? S’il n’y a pas de fondement juridique valable, l’entreprise ne peut pas la garder. Voici les quatre principaux fondements repris dans le RGPD :
- La personne a donné son autorisation pour que vous utilisiez ses données dans un but précis et uniquement dans ce but (pas d’autorisation générale). La personne doit avoir marqué son accord sur ce que l’entreprise va faire avec ses données.
- L’entreprise a une obligation légale de conserver ce type de données (par exemple des obligations fiscales).
- Ces données sont nécessaires pour exécuter un contrat conclu avec la personne (par exemple une adresse de livraison).
- L’entreprise a un intérêt légitime à utiliser ces données et cela n’est pas (trop) préjudiciable pour la personne (par rapport à sa vie privée par exemple). Cette mise en balance des intérêts doit se faire avec beaucoup de précaution.
10. Poser par écrit la méthodologie de mise à jour des données
Définir par écrit comment et surtout pourquoi vous allez mettre à jour les données est là aussi une clef du respect du RGPD.
11. Voir si nécessaire à migrer vers un système permettant une gestion RGPD centralisée, sécurisée et simplifiée
Une fois que votre entreprise aura répondu à ces différentes questions, vous allez devoir nommer en interne un délégué à la protection des données. Le cas échéant il est possible de faire appel à un conseiller extérieur (consultant, avocat). Il aura principalement pour tâche d’assurer de manière parfaitement indépendante le respect de la législation et la sensibilisation de l’ensemble du personnel de l’entreprise à ces nouvelles règles. De la comptabilité au business en passant par les ressources humaines, tous les services doivent être impliqués.
Il vous faudra ensuite choisir un outil de centralisation, en général un logiciel CRM.
Actuellement, peu de logiciels répondent aux obligations de la RGPD :
- Centralisation des données
- Registre de traçabilité de toutes les modifications apportées aux données
- Possibilité de mettre en sommeil des données et/ou de les effacer
- Effacement des backup à la demande
- Données cryptées (et donc non lisible par l’éditeur du logiciel)
- Sécurisation des données (pour éviter les fuites)
Approbation et autorisation
Nous approuvons le projet tel qu’il est décrit ci-dessus, et autorisons l’équipe à le mettre en œuvre.
Nom | Titre | Date |
Approuvé par Date