Les 10 étapes pour respecter le RGPD

A partir du 25 mai 2018, vous êtes tenu de respecter le RGPD. Voici 10 étapes pour mettre votre entreprise en conformité.

Faites le point sur les données que vous collectez /traitez/ stockez, aussi bien concernant vos clients, vos prospects et vos salariés. Notez dans un fichier quelles sont les données que vous collectez, où vous les récupérez, par quel outil vous les collectez, comment vous les traitez, combien de temps vous les conservez.

Rappel : nos articles "Qu'est-ce qu'une donnée personnelle ?" ; "Qu'est ce qu'un traitement de données ?" 

Conséquence du point ci-dessus : vous avez la liste de tous les sous-traitants avec qui vous collectez, traitez ou stockez des données. Contactez-les, si eux-même ne vous ont pas déjà informé, pour vous assurer qu'ils respectent bien le RGPD.
Prudence notamment avec vos sous-traitants américains. Du moment que ceux-ci stockent les données de vos clients hors Union Européenne, il est probable qu'ils ne respectent pas le RGPD. Or, en vertu de la responsabilité solidaire introduite par le RGPD, si vos sous-traitants ne respectent pas le RGPD, vous risquez des sanctions.

Pour aller plus loin : un article du site Message-Business.com : "Mailchimp, Campaign Monitor, Hubspot sont-ils en conformité avec le RGPD ?"

Rappel : nos articles "Suis-je concerné par le RGPD ?" ; "Qu'est-ce que je risque ?" 

Profitez du point 1) pour vous interroger sur la pertinence de vos collectes de données. Est-ce vraiment nécessaire de collecter chaque type de donnée ? Vous devrez pouvoir justifier de la finalité l'utilisation des différentes données en cas de contrôle.
C'est le moment de faire le tri, et ne collecter plus que le strict nécessaire !

Les points ci-dessus vous permettent de créer un tableau qui recense toutes les données que vous collectez et traitez : c'est votre "registre de traitement de données".
A noter que ce registre est obligatoire pour les entreprises de plus de 250 salariés ; pour toutes les données sensibles ; pour les traitements susceptibles de comporter un risque pour les droits et libertés des personnes.

Notre conseil : créez et tenez ce fichier à jour quelle que soit la taille de votre entreprise. En effet cela vous permet de suivre la bonne application du RGPD dans votre entreprise et d'être plus facilement prêt en cas de contrôles.

Dans ce tableau, notez :

• l'objectif de la collecte et du traitement de données (la finalité)
• les catégories de données collectées
• qui a accès à ces données
• la durée de conservation des données

Vos mentions légales sont forcément impactées par le RGPD. Il faut prendre le temps de les retravailler pour qu'elles soient en conformité.

Pour vous guider, nous avons créé en partenariat avec Domaine Legal un générateur de mentions légales conformes au RGPD . Utilisez-le pour générer vos mentions, puis relisez -les et amendez-les si besoin. 

Pour collecter et traiter des données, vous devez obtenir le consentement préalable de la personne physique.

Le consentement est un « acte positif clair qui exprime de façon libre, spécifique, éclairée et univoque l'accord de la personne concernée ».

Le consentement doit être exprimé de manière expresse écrite ou orale. Concrètement, une case pré-cochée sur un formulaire internet n’est désormais plus acceptable ; en revanche une case à cocher sera acceptée.

Le consentement doit être donné librement et ne pas résulter de tromperies ou de manœuvres. Attention, le consentement ne doit donc pas être associé à l'obtention d'un cadeau ou d'une réduction. Par ailleurs, le fait d'accepter des conditions générales dans un contrat ne vaut en effet pas consentement à être démarché commercialement.

Il faut que la personne physique puisse être en mesure de refuser le traitement de ses données sans subir de préjudice, et puisse retirer ultérieurement son consentement.

Quid des cookies ?

La CNIL préconise le recueil du consentement en deux étapes : affichage d’un bandeau précisant les finalités précises des cookies, la possibilité de s’y opposer et de changer les paramètres et le fait que la poursuite de la navigation vaut accord ; si la personne a cliqué sur le bandeau, elle doit être informée de manière simple et intelligible des solutions mises à disposition pour accepter ou refuser tout ou une partie des cookies nécessitant un recueil de consentement.

Le RGPD énumère les informations qui doivent être communiquées :

• pourquoi collectez vous et traitez vous les données (la finalité) ?
• qu'est-ce qui vous autorise à traiter les données (par exemple le consentement de la personne ;  le caractère réglementaire ou contractuel de la collecte ; les intérêts légitimes du responsable du traitement...) ?
• qui a accès aux données ?
• la durée de conservation des données
• les droits des personnes (droit à la portabilité des données, droits d’accès, de rectification, de limitation et d'opposition ainsi que du droit de définir des directives relatives au sort de vos données personnelles après votre mort, le droit de retirer son consentement lorsque le traitement des données est fondé sur le consentement, le droit d’introduire une réclamation auprès de l’autorité de contrôle)
• les modalités pour faire exercer ses droits ainsi que les coordonnées du responsable de traitement et de son DPO. (cf étape 8)
• si vous transférez des données vers un pays hors UE : dans ce cas précisez le ou les pays, la nature des données transférées, la finalité du transfert, la ou les catégories de destinataires des données, le niveau de protection offert par le ou les pays tiers.
  Pour en savoir plus : le dossier de la CNIL sur le transfert des données hors UE

Le data protection officer (DPO), en français le délégué à la protection des données, est chargé de mettre en œuvre la conformité au RGPD au sein de l’organisme ou de l'entreprise qui l’a nommé. 
Il informe, contrôle le respect du RGPD et du droit national en matière de protection des données, coopère avec l’autorité de contrôle (la CNIL) et est le point de contact de la CNIL dans l'entreprise.

La désignation d'un DPO est obligatoire pour les autorités ou les organismes publics, ainsi que pour les responsables de traitement ou sous-traitants dont les activités amènent à réaliser un suivi des personnes à grande échelle, ou dont les activités amènent à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions.
Nous vous conseillons cependant, pour faciliter votre organisation interne, de nommer un DPO quelle que soit votre activité.

Pour aller plus loin : le dossier de la CNIL sur le rôle du DPO

La mise en oeuvre du RGPD est l'occasion pour vous de refaire le point sur la sécurisation des données dans votre entreprise. Pensez à faire des mises à jour régulières de vos antivirus et logiciels ; changez régulièrement les mots de passe des outils que vous utilisez ; utilisez si besoin le chiffrement de certaines données.

Pour aller plus loin : consultez le guide de la CNIL sur la sécurité des données personnelles (2017)

Anticipez et mettez en place toutes les procédures que vous devrez suivre:
en cas de fuite de données (vous n'aurez que 72h pour prévenir la CNIL) ;
en cas de demande d'une personne qui souhaiterait récupérer ses données  (droit à la portabilité); 
en cas de demande d'une personne qui souhaiterait supprimer ses données (droit à l'oubli) ;
en cas de demande d'une personne qui souhaiterait s'opposer au traitement de ses données (droit d'opposition au traitement et droit à la limitation du traitement des données).

Pour aller plus loin sur le RGPD...