L’arrivée du Règlement Général sur la Protection des Données en mai 2018 a bouleversé le quotidien de beaucoup entreprises. Et pour cause, ces quinze dernières années ont été émaillées de nombreux scandales en matière de vol de données. On pense par exemple, le scandale Facebook-Cambridge Analytica (en 2018) avec près de 87 millions d’utilisateurs visés par un vol de données.
La réglementation sur la protection des données a pour objet de garantir la sécurité des données personnelles des individus et plus largement protéger de la vie privée des personnes. Pour cela, le RGPD impose un certain nombre d’obligations aux acteurs de l’économie.
Quelles sont les 4 étapes clés pour se mettre en conformité au RGPD ?
1 – Collectez un minimum de données personnelles
L’un des principes fondateurs du RGPD (article 5) relève du bon sens : moins vous collectez de données plus vous réduisez les risques. Il consiste à s’interroger sur la question suivante : “Ai-je vraiment besoin de collecter ces données ?”.
En effet, le temps où vous collectiez des données pour peut-être vous en servir ultérieurement est révolu. Vous avez l’obligation de ne collecter que les données strictement nécessaires à votre activité (principe de minimisation des données).
Ce principe est directement lié à une seconde obligation : celle de déterminer les raisons pour lesquelles vous collectez des données. Vous devez indiquer la finalité dans un document appelé “registre de traitements” (étape n°3), c’est-à-dire l’objectif de la collecte et l’utilisation des données.
Par exemple : vous livrer votre produit à vos clients, ce dernier renseigne son nom, numéro de téléphone, adresse e-mail, adresse de livraison et informations bancaires. Vous n’avez pas besoin de connaitre le lieu de naissance (principe de minimisation) pour livrer le produit (finalité).
2 – Cartographiez vos données personnelles
Les données personnelles se baladent absolument partout. Faire l’inventaire de ces données est une étape clé. Pour ce faire, partez de vos outils CRM, éditeurs de mailings, boîtes mails etc. et notez les grandes catégories de données.
Pour rappel, une donnée personnelle est toute information directe ou indirectement permettant d’identifier une personne (article 4 RGPD). Les données relatives aux personnes morales ne sont pas protégées par le RGPD. Exemple de données personnelles :
- Le nom et prénom d’une personne, son numéro de téléphone ou encore sa photo sont des données personnelles : elles l’identifient directement et personnellement.
- La date de naissance, le métier ou encore la situation familiale d’une personne sont des données personnelles dès lors qu’elles concernent une personne identifiée, même indirectement.
Par exemple, une entreprise qui collecte les dates de naissance de ses clients pour affiner son discours commercial traite des données personnelles dans la mesure où il suffit de recouper les dates de naissance avec le fichier client pour identifier un individu en particulier.
Dès lors, toutes les données qui permettent de remonter à une personne physique, même indirectement, sont des données à caractère personnel.
Munissez-vous d’un logiciel RGPD tel que Leto qui met à disposition une brique technologique permettant d’identifier automatiquement toutes les catégories de données personnelles collectées dans les outils de votre entreprise. Faire appel à ce type de solution vous permet de gagner beaucoup de temps.
3 – Documentez ce que vous faites des données personnelles
Cette dernière étape a deux fonctions majeures :
- Elle permet d’informer vos interlocuteurs de ce que vous faites de leurs données personnelles. Pour ce faire, munissez-vous d’une politique de confidentialité détaillant les données collectées, ce que vous en faites et comment ils peuvent former une demande de suppression, modification ou copie de leurs données.
- Surtout, documentez l’ensemble des utilisations (appelées “traitements”) opérées sur ces données dans un registre de traitements. Ce registre vous permet à la fois pour montrer pâte blanche à vos partenaires lors d’audit mais également à justifier de votre conformité en cas de contrôle par la CNIL.
- Lorsque vous travaillez pour le compte d’autres entreprises, vous avez le statut de sous-traitant au regard du RGPD. À ce titre, certaines obligations vous incombent et notamment, de proposer à vos clients un contrat sous-traitant qui respecte les exigences de l’article 28 RGPD. C’est LE document qui prouve à vos partenaires que vous agissez de manière conforme au RGPD.
Politique de confidentialité, registre de traitements et contrats sous-traitants : voilà les documents dont vous avez besoin pour prouver votre conformité auprès des autorités, de vos partenaires et de vos clients.
La construction de ces documents est souvent proposée par des cabinets d’avocats pour un prix très élevé alors que des solutions moins couteuses et plus rapides existent. Ayez plutôt recours à une solution SaaS comme Leto dont la plateforme permet de générer automatiquement votre registre de traitements, registre sous-traitants et vous guide dans la construction de toute votre documentation.
4 – Sensibilisez vos collaborateurs avec Leto
Chaque collaborateur de votre entreprise est amené à collecter et manipuler des données personnelles. La protection des données est donc l’affaire de tous. Penser que ce sujet ne concerne qu’une personne dans votre entreprise est un piège dès lors tout collaborateur peut être une cible de cyber-attaques.
Sensibiliser ses collaborateurs pour qu’ils acquièrent les bons réflexes est un gain de temps immense en matière de conformité. La sensibilisation des équipes est d’ailleurs une des missions obligatoire du délégué à la protection des données (DPO).
Qu’elle soit l’expression d’une obligation légale ou d’une volonté de montée en maturité sur ces sujets, la sensibilisation est votre meilleur outil.
Basé sur son expérience user, le logiciel Leto propose un module de sensibilisation des collaborateurs avec une banque de plus 100 questions pensées pour représenter des cas concrets pour chaque métier (Marketing, RH, Finance, Tech, Data, IT etc.). Vous avez également la possibilité de créer vos propres questions directement depuis l’outil et de lancer des campagnes auprès de vos équipes via votre outil de messagerie interne préféré. Le résultat de ces campagnes vous permet d’identifier les sujets les moins maitrisés, les personnes les moins à l’aise avec ces sujets tout en ayant la documentation associée à chaque question.
Contrairement aux idées reçues, la conformité au RGPD est un levier puissant de développement de votre activité. Aujourd’hui, des solutions SaaS vous permettent d’y parvenir simplement et rapidement.