RGPD acte II : que dois-je faire ?

Designen metal rappelant un ensemble de codes QR

Publié le 7 Oct, 2019

Précédemment dans RGPD ACTE I…Vous savez désormais si vous êtes concerné par le RGPD et quelle est la logique à adopter pour vous mettre en conformité avec les nouvelles règles applicables. C’est très bien nous direz-vous ! Mais vous vous demandez très certainement ce que vous devez faire concrètement. C’est parti !

La base : recenser vos potentiels traitements de données personnelles

La première chose à faire est de procéder à un recensement de vos potentiels traitements de données personnelles.

Pour cela, vous devez tout d’abord identifier toutes vos activités susceptibles d’engendrer un traitement de données personnelles.

Par exemple, si vous êtes boulanger, vous prenez sans doute des commandes clients ? Et à ce titre, vous collectez peut-être les nom, prénom, adresse ou encore date d’anniversaire de vos clients ? Notez votre activité « prise de commandes » ou peut être plus largement « vente ».

Pour chacune des activités recensées, vous devez ensuite :

  • Noter le type de données que vous traitez

Dans notre exemple, nous avions évoqué les noms, prénoms, adresse ou encore la date d’anniversaire de vos clients. Notez-le !

  • Identifier les données traitées dites sensibles (données relatives à la santé ou aux affinités politiques par exemple…).

Notre boulanger sera peu enclin à collecter de telles données mais sait-on jamais !

  • Noter l’objectif poursuivi

Pour notre boulanger il s’agira sûrement de fidéliser ses clients.

  • Noter la durée de conservation des données – il faut entendre par là, la durée d’utilisation des données – qui ensuite seront supprimées, archivées ou anonymisées. Cette durée d’utilisation doit être au maximum égale au temps nécessaire à l’accomplissement de la finalité déterminée précédemment (attention certains textes imposent des durées spécifiques).
  • Noter les personnes qui ont accès à ces données

Dans notre exemple, on peut imaginer que notre boulanger a 3 salariés qui peuvent accéder à ce fichier client.

  • Noter les modalités de stockage de ces données et le lieu de stockage

Notre boulanger va peut-être consigner les données collectées dans un fichier excel, lui-même stocké sur un cloud ou drive, lui-même hébergé dans un pays étranger comme les USA.

  • Enfin, noter les mesures de sécurité mises en œuvre pour protéger au mieux les données traitées

C’est sans doute le point le plus délicat pour Monsieur tout le monde ! En général les données numériques sont stockées sur le disque dur de plus en plus souvent synchronisé avec un cloud. Et l’effort s’arrête là…Alors comment sécuriser ses données ? Essayez déjà dans un premier temps de justifier de l’existence de certaines protections communes (par exemple, un anti-virus à jour).

Vous avez terminé de noter tout cela ? Félicitations vous venez de réaliser votre registre des données personnelles ! Ce n’est pas toujours une obligation légale, mais la CNIL recommande fortement sa réalisation quelle que soit votre situation.

Une fois le recensement effectué vous allez devoir mettre en œuvre plusieurs actions. En voici les principales.

La suite : les principales actions à mettre en place

Optimiser le traitement des données collectées

A partir du registre précédemment constitué, vous allez pouvoir identifier vos points faibles (par exemple, vous vous rendez compte que trop de personnes ont accès à votre ordinateur qui contient les données traitées) et incidemment les actions à mettre en œuvre pour vous mettre en conformité avec la règlementation, voire même établir des analyses d’impact.

Communiquer avec les personnes concernées

Le RGPD renforce l’obligation d’information des personnes concernées par vos traitements. C’est notamment pour cela que lorsque vous visitez un site web concerné par le RGPD, vous êtes invité à accepter les modalités de traitement des données.

Pensez aussi à mettre à jour vos documents contractuels et notamment vos Conditions Générales de Vente ! C’est un excellent moyen de justifier que l’information a été communiquée !

Vous pouvez désigner un Délégué à la Protection des Données

Le rôle de ce DPD (plus connu sous l’acronyme anglophone DPO) sera de piloter votre politique interne de gestion des traitements de données personnelles.

Documenter votre conformité RGPD !

En cas de contrôle, vous serez invité à justifier de votre conformité : constituez-vous une documentation ! C’est la logique RGPD.

Parmi ces documents, citons toujours le registre des traitements (la base !), les analyses d’impact, mais aussi le recueil de consentement des personnes concernées par vos traitements ou encore un ensemble de procédures internes détaillant l’organisation de votre politique RGPD.

Vous voilà prêt à commencer votre mise à niveau RGPD !  Attention tout de même : il existe de nombreuses obligations particulières pour certains types de situation (selon les données, la qualité de celui qui fait le traitement etc.). Et attention aux sanctions !

Pour plus de tranquillité et de sécurité, faites-vous accompagner par un professionnel. Les avocats de STRATEGIA peuvent vous accompagner dans votre conformité RGPD.

STRATEGIA est un Cabinet d’Avocats qui accompagne les TPE, PME et STARTUP dans leur structurations et optimisations en droit des sociétés, droit social, droit des contrats, droit fiscal et contentieux de l’entreprise. Notre Cabinet a notamment su se démarquer par sa transparence tarifaire et son engagement aux côtés des entrepreneurs.

Vous pourriez aussi aimer…

Le B.A.BA. des procédures collectives :  la liquidation judiciaire.

Le B.A.BA. des procédures collectives : la liquidation judiciaire.

Votre entreprise rencontre des difficultés, vous êtes en cessation des paiements et votre situation est irrémédiablement compromise ? La procédure de liquidation judiciaire est ouverte à toute entreprise en cessation des paiements dont le redressement est...

Le présent article est publié à des fins d’information du public. Il n’a pas vocation à être exhaustif et il ne constitue aucunement une consultation personnalisée. Nous ne pouvons pas garantir son application à votre situation. Nous alertons en effet nos lecteurs que la législation est en évolution permanente et qu’un article généraliste ne saurait remplacer une consultation personnalisée parfaitement conforme à la législation en vigueur au jour de la survenance de votre besoin. Pour une réponse/solution personnalisée à toute question/problème nous vous invitons à nous interroger directement en nous contactant par le biais de notre formulaire de contact.