Parlons peu, parlons RGPD. Sous cet acronyme, se cache le Règlement Général de Protection des Données. Depuis 2018, ce règlement européen renforce la protection des données personnelles en entreprise.
Définition
Dans la norme ISO 26000, elle rentre dans la question centrale des questions relatives à la consommation, dans le domaine d’action ‘Protection des données et de la vie privée des consommateurs’.
Selon le RGPD, chaque structure doit mettre en place un processus exprimant clairement ce qui est fait des données numériques.
- Une personne qui s’inscrit à votre newsletter doit pouvoir s’en désinscrire facilement.
- Elle doit également savoir ce qui va être fait de son adresse mail, et combien de temps elle sera conservée.
- Il en est de même pour les autres données sur votre personnel salarié : combien de temps les conservez-vous ? Quelles données récoltez-vous ? Comment vous assurez-vous que l’accès à celles-ci est bien protégé ?
Il existe deux types de données : les données personnelles et les données personnelles sensibles.
Données personnelles
La définition de la CNIL est ‘toute information se rapportant à une personne physique identifiée ou identifiable. Mais, parce qu’elles concernent des personnes, celles-ci doivent en conserver la maîtrise.’
Vous devez avoir donné votre accord pour que ces données soient conservées : coordonnées bancaires, adresse, numéro de carte d’identité par exemple.
Les données d’entreprises sont hors de cette définition des données personnelles.
Données personnelles sensibles
Selon la définition de la CNIL : ‘la prétendue origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique.’
Les bonnes pratiques
- Comme pour la majorité des sujets, la sensibilisation est la clé. Savoir pourquoi c’est important et comment traiter ces sujets, c’est indispensable. Formez donc vos équipes à la protection des données personnelles, que ce soit les données internes ou externes de votre structure.
- Gérer l’archivage des données : combien de temps de conservation, qu’est-ce qui est fait des données ensuite, où sont-elles stockées ?
- Prendre en compte les remontées d’incidents et les traiter de façon objective.
- Sécuriser votre site web, vos serveurs, votre réseau informatique et vos locaux de toute intrusion, physique ou numérique.
- Mettre en place une fin de vie sécurisée du matériel informatique : est-il donné ? Si oui, les données sont-elles complètement supprimées avant ?
- Sous-traiter de façon sécurisée le développement de programmes informatiques, en intégrant dans votre des clauses RGPD dans vos contrats.
Ces idées proviennent d’un guide très complet de la CNIL ‘Guide pratique RGPD’, mis à jour en 2023, qui vous donnera toutes les clés pour mettre en place concrètement votre politique.
La protection des données personnelles en entreprise peut sembler complexe à appréhender, faites-vous accompagner pour y réfléchir.
30 minutes pour
faire connaissance
Définir vos objectifs et besoins
Premières recommandations
Chiffrage de votre projet
Et c’est gratuit !
