RGPD, on en parle beaucoup, on a tous bien compris que c’était obligatoire pour tout le monde…
Mais on n’a pas forcément bien compris ce que ça impliquait, ce qu’il fallait faire … alors on n’a pas forcément fait grand-chose pour s’y conformer.
Et pourtant !
Et pourtant, il y a un vrai risque : des sanctions pouvant aller jusqu’à 4 % du chiffre d’affaires.
Et pourtant ce n’est pas très compliqué …
Qu’est-ce qui est VRAIMENT obligatoire pour le RGPD ? Pour nous, les consultants…
1- Nommer un DPO (Délégué à la Protection des Données)
• Si vous effectuez un suivi régulier et systématique à grande échelle des données collectées ou si vous collectez des informations sensibles, il est indispensable.
• Vous devrez alors effectuer sa déclaration via le site de la CNIL. Sa certification n’est pas obligatoire.
La plupart d’entre nous n’est donc pas concernée.
2- Tenir à jour le registre des données collectées
• La liste et la fonction des personnes ayant accès aux données
• Le type de données
• L’objectif de la collecte
• La nécessité et la durée du stockage des données
• L’endroit où elles sont conservées
• Les mesures de sécurité adoptées
Ça, il faut le faire et ce n’est pas très compliqué d’autant plus que la CNIL propose un modèle de registre « simplifié ».
Et faire cet exercice est une bonne occasion de se demander ce que l’on a comme fichier, comme données, s’il est bien nécessaire de garder tout ça ET si les données en question sont suffisamment sécurisées.
Bref, l’occasion également de faire un peu de ménage !
3- Établir la base juridique de la collecte
• En formalisant la manière dont est obtenu le consentement de la personne et la procédure mise en œuvre pour qu’elle puisse exercer ses droits. Sur votre site Internet, vous devrez avoir des mentions légales à jour et installer une bannière de consentement pour vos cookies.
• En démontrant l’intérêt légitime
• En établissant des contrats avec les sous-traitants qui accèderont à ses données
• En prouvant l’obligation légale si elle est avérée
Là encore, il faut le faire et ça se limite, dans bien des cas, à glisser quelques phrases ou sur nos sites web, dans nos mails et surtout, si on en utilise, dans nos formulaires de capture de données … Quelques phrases pour informer les personnes de ce que l’on fait de leur données et de comment ils peuvent s’y opposer. Et il n’est même pas utile d’être créatif, la CNIL propose des modèles de phrases selon la nature des données collectées et des usages que l’on en fait.
4- Réaliser une AIDP : analyse d’impact relative à la protection des données
L’AIPD est un outil qui permet de construire un traitement conforme au RGPD et respectueux de la vie privée. Elle concerne les traitements de données personnelles qui sont susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes concernées.
Dans le cas où vous collectez des données sensibles, vous devez être capable de mesurer le risque encouru pour les personnes concernées.
Cette partie ne concerne que les données sensibles : données révélant l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, les données génétiques, les données biométriques aux fins d’identifier une personne physique de manière unique, les données concernant la santé, les données concernant la vie sexuelle ou l’orientation sexuelle, les données relatives à des condamnations pénales ou infractions.
A priori, la plupart d’entre nous n’est donc pas concernée.
Alors, qu’est ce qu’on fait ? On reste dans l’illégalité ou on essaie de s’intéresser réellement au sujet ?
Prêt à regarder cela de plus près ?
La CNIL et BPI France ont réalisé une brochure à destination des TPE-PME qui mérite d’être regardée pour continuer à démystifier : Guide pratique de sensibilisation au RGPD.
Prêt à te lancer ?
Là encore la CNIL a fait un gros travail de pédagogie en images et bien documenté : RGPD : passer à l’action.
Il n’y a plus qu’à…