La protection des données personnelles est au cœur de nombreuses préoccupations, notamment avec l’entrée en vigueur du Règlement Général sur la Protection des Données (RGPD).
Il est essentiel de s’en préoccuper au plus tôt, avant même le lancement de votre activité afin d’éviter toute mauvaise pratique qui pourrait porter préjudice à votre activité. En effet, le risque est d’écoper d’une sanction des autorités comme la Commission nationale de l’informatique et des libertés (CNIL). De plus, une fuite de données pourrait venir tenir la réputation de votre entreprise et avoir des répercussions business bien plus graves.
Adopter les bonnes pratiques dès le début est donc important. Pour vous aider, suivez le guide en 8 étapes proposé par Leto, pour garantir votre conformité au règlement, garantir la confidentialité des données personnelles et lancer votre business en toute sérénité.
Etape n°1 : Désigner un responsable RGPD
Pour démarrer sa conformité RGPD, pensez à désigner une personne en charge du sujet RGPD. Son rôle consiste à veiller à ce que votre entreprise respecte les règles du RGPD et de répondre aux questions et demandes des personnes concernées par le traitement des données.
Cette personne peut tout aussi bien être une personne de vos équipes en interne, par exemple un salarié. La seule limite est que, si vous choisissez d’assurer ce rôle en interne, il convient d’être prudent quant aux conflits d’intérêt. En effet, la casquette de DPO est incompatible avec toute fonction dirigeante ou décisionnaire. Par exemple, la fonction de DPO est incompatible avec celles de responsable marketing, de DRH, de DSI, CTO, CEO. Il est également possible de faire appel aux services d’organismes extérieurs comme un cabinet de conseil ou un Délégué à la Protection des Données (DPO) externe.
Attention, dans certains cas, la désignation d’un DPO est imposée par le RGPD. Telle est le cas si vous traitez notamment de données dites “sensibles” (données de santé, informations relatives à l’origine raciale, aux convictions religieuses ou l’orientation sexuelle).
Etape n°2 : Identifiez vos données personnelles
Il est nécessaire d’identifier les données personnelles que votre entreprise va collecter, ce qu’elle va en faire et où elles seront stockées. Pour rappel, une donnée personnelle est toute information directe ou indirecte se rapportant à une personne physique (nom, prénom, adresse e-mail, adresse IP etc.)(article 4 RGPD).
- Listez tous les outils où des données personnelles sont stockées : logiciels, services, outils SaaS ou bases de données que vous utilisez dans votre organismes (par exemple Payfit, Welcome to the Jungle, Shopify, Bubble, Airtable, Slack etc.).
- Ensuite, pour chaque outil ou logiciel de votre liste, identifiez les données personnelles stockées. L’objectif est d’identifier la catégorie de données personnelles, et notamment si vous envisagez de collecter des données sensibles.
Etape n°3 : Mettre en place un registre de traitement des données
Le RGPD exige que vous teniez un registre de tous les traitements de données personnelles effectués par votre entreprise. Il s’agit d’un document déclaratif dans lequel sont décrites toutes les collectes et utilisations des données personnelles au titre des activités de responsable de traitements et de sous-traitant.
Aucun formalisme n’est attendu. En revanche, il est important que l’ensemble des informations suivantes soient renseignées :
- Types de données personnelles collectées
- Pour quelles raisons (aussi appelé “finalité”). Il s’agit de l’objectif poursuivi par la collecte et/ ou l’utilisation de ces données.
- Le fondement légal qui vous autorise à collecter ces données personnelles (aussi appelé “bases légales”). Il existe 6 cas énumérés par le RGPD : le consentement de la personne, en vertu d’obligation contractuelle, en vertu d’une obligation légale, en vertu de l’intérêt légitime de l’organisme, pour l’exécution d’un service public ou la sauvegarde d’un intérêt vital.
- Les destinataires des données (employé, logiciel, prestataire etc.).
- La durée de conservation de ces données.
- Enfin, vous devez déclarer les mesures de sécurité techniques et organisationnelles mises en œuvre pour protéger ces données.
Etape n°4 : Limiter la collecte des données au strict nécessaire
Une des règles clés du RGPD est le principe de minimisation des données. Cela signifie que vous ne devez collecter que les données strictement nécessaires à la finalité du traitement. Ne vous embarrassez pas de données personnelles que vous n’utilisez pas car si vous ne justifiez pas leur collecte par la poursuite d’un objectif précis, vous vous mettez dans une situation de risque au regard du RGPD.
Par exemple, si un site e-commerce vend des voyages, le e-commerçant aura besoin des données bancaires mais il n’est pas pertinent de demander le numéro de la carte de sécurité sociale.
Etape n°5 : Adoptez des mesures de sécurité
La sécurité des données est un aspect essentiel de la protection des données personnelles. Mettez en place des mesures de sécurité appropriées pour protéger les données contre tout accès non autorisé, leur perte ou leur destruction. L’article 32 du RGPD prévoit une obligation pour tout organisme de mettre en place des mesures techniques et organisationnelles de protection des données tout au long d’un traitement.
Cela peut inclure l’utilisation de mots de passe robustes, le cryptage des données sensibles et la mise en place de pare-feu et de systèmes de détection d’intrusion. Pensez au chiffrement des données qui peut être une mesure de sécurité particulièrement protectrice des données personnelles et de nature à éviter toute violation de données personnelles.
Etape n°6 : Informez les personnes sur leurs données et leurs droits
Enfin, il convient d’être transparent dans vos pratiques de traitement des données. Informez les personnes concernées de manière claire et compréhensible sur la façon dont leurs données sont collectées, utilisées et protégées. Fournissez-leur des informations détaillées sur vos politiques de confidentialité et de protection des données et tenez-les régulièrement informées des éventuels changements.
Les personnes concernées par le traitement de leurs données personnelles ont certains droits en vertu du RGPD. Informez-les de leurs droits, tels que le droit d’accès, de rectification, d’effacement et de portabilité de leurs données. Mettez en place des procédures internes pour répondre aux demandes des personnes concernées et assurez-vous de respecter leurs droits en matière de protection des données. Enfin, informez les visiteurs de votre site web sur l’utilisation des cookies et recueillez leur consentement.
Etape n°7 : Sensibilisez vos équipes au RGPD
Presque un tiers des fuites de données sont dues à une erreur humaine accidentelle. Pour se prémunir contre ce risque, il est important de sensibiliser ses équipes à l’importance de la protection des données personnelles.
Organisez des sessions de formation pour expliquer les principes clés du RGPD et les obligations de l’entreprise en matière de protection des données.
Etape n°8 : Aidez-vous d’un logiciel RGPD
La gestion manuelle des données dans le cadre de la conformité RGPD est non seulement chronophage. Il est donc souhaitable pour les entreprises de se doter d’outils spécialisés pour faciliter ce processus.
Le logiciel RGPD Leto est une solution qui offre la possibilité, même aux non-juristes, de piloter un programme de conformité RGPD. En choisissant un outil comme Leto, les entreprises s’assurent de respecter les réglementations en vigueur tout en veillant à la formation continue et à l’information de toutes leurs parties prenantes. De plus, Leto offre un livre blanc détaillé sur la mise en conformité au RGPD, un précieux guide pour toutes les entreprises souhaitant renforcer leur conformité.