Location,TX 75035,USA
+1234567890
info@yourmail.com

Et si nous parlions RGPD ?!

Data Made Simple

Et si nous parlions RGPD ?!

Vous avez certainement déjà entendu parler du RGPD ?!
Du quoi ?
Du R.G.P.D !
Du quoi ?
Du règlement général sur la protection des données !
Ahhh, du RGPD !
Oui, c’est ca…

Ce règlement a pour objectif d’harmoniser les pratiques concernant l’utilisation des données personnelles dans les entreprises au sein de l’union Européenne.
C’est à dire, les entreprises de l’union européenne, ou les entreprises qui collectent des données personnelles de personnes physiques de l’union européenne…
Le spectre est large…

Tout le monde doit s’y conformer depuis le 25 mai 2018 !

Alors, que vous pensiez
– ne pas être concerné…
Ou
– que ce soit trop complexe à mettre en place….
Ou encore
– être déjà conforme car vous faites très attention à ne pas vendre trop de données pour que personne ne vous soupçonne…
Vous devez vous y conformer et en apporter les preuves !

Vous êtes une association avec des membres,ou vous êtes une entreprise avez des clients, des prospects, des salariés…
Bref, vous avez un rapport avec des personnes physiques dans votre organisme ?
Il y a donc certaines obligations légales liées au traitement de ces données.

Mais alors, le traitement c’est quoi exactement ?

Et bien commençons par caractériser la ‘donnée à caractère personnelle’.
C’est toute information qui se rapporte à une personne physique identifiée ou identifiable :
– Un nom
– Un prénom
– Une adresse postale
– Une adresse électronique
– Une adresse IP
– Une photo
– Un numéro de carte d’identité
– Une information bancaire
… Et j’en passe !

L’objectif du règlement est de protéger la vie privée des citoyens.

Ainsi le traitement d’une donnée, c’est tout simplement :
– La collecte
Ou
– le stockage
Ou encore
– l’utilisation
De ces données personnelles.

Donc peu importe que la collecte ne soit pas votre activité principale, ou alors que vous traitiez une donnée pour le compte d’un autre organisme (nous parlerons de sous-traitance de traitement), que vous ayez une entreprise individuelle, que vous soyez entrepreneur ou que vous ayez serré la main du président de la république, le RGPD s’applique aussi à votre organisme !

Il existe tout de même quelques exceptions…

Si, si !

1- Le traitement privé (si vous avez le numéro de votre grand mère, pas de soucis, il n’est pas nécessaire de tenir un registre et d’avoir une demande de consentement ! l’honneur est sauve !)
2- Un traitement pour une activité de prévention d’infraction pénale, mieux vaut prévenir que guérir !
3- Un traitement pour une activité protégeant les libertés et droits fondamentaux… idem le RGPD ne vous concerne pas !

En bref, si vous ne souhaitez pas tenir de registre, alors je vous conseille de rester à discuter avec votre grand mère du danger que représente les excès de vitesse pendant une manifestation.

Retour à la réalité, que faut-il faire exactement ?

Minimisez vos données, et ne collectez que les données pertinentes.
Votre collecte a forcément un objectif, ne prenez que l’indispensable !
C’est un peu comme quand vous prenez l’avion pour un voyage de 15 jours, mais que vous ne voulez enregistrer aucun bagage en soute pour éviter les surcoûts…
Il faut forcément bien choisir ce dont on a besoin….

Pensez à vérifier que vous avez le droit de collecter ces données, et demandez le consentement des personnes concernées… Sauf en cas d’obligation légale, et nous y reviendrons dans un prochain article !

Recensez les données dans un registre.

Soyez transparent, et informez les personnes concernées que vous collectez leurs données, et dans quel objectif.

Controlez l’usage qui est fait des données.

Sécurisez ces données.

Identifiez et gérez les risques liés à cette collecte !

Qu’est-ce qu’un registre ?

Une des obligation est la tenue d’un registre des activités de traitement.

Vous devez y préciser :
– Les parties prenantes
– Les différentes activités de traitement
– Les objectifs clairement définis
– Les catégories de données traitées
– La destination des données, les personnes qui y accèdent et celles à qui les données sont communiquées
– Le temps de conservation des données
– Les moyens mis en place pour sécuriser les données

Pour les entreprises de moins de 250 salariés,

Le registre peut ne comporter que les traitements non occasionnels (salariés, clients, etc…)
Donc pas de soucis pour une campagne promotionnelle occasionnelle pour les 70 ans de mamie !

Pensez tout de même à notifier l’activité de recrutement du staff anniversaire…
Vous allez collecter des CV, des notes et informations concernant les candidats.
Il faudra alors faire apparaître au registre vos méthode et outil pour gérer ces données si vous les conservez après l’anniversaire de mamie.

Faut-il être suivi par un spécialiste ?!

Dans certains cas, il sera nécessaire de désigner un DPO, un délégué à la protection des données (ou Data Protection Officer) :
– Si vous êtes un organisme du secteur public,
– Si votre activité principale demande un suivi régulier et systématique des personnes à grande échelle,
– Si vous traitez, toujours à grande échelle, des données sensibles ou relatives à des infractions pénales.

C’est assez vivement conseillé, même pour les petites structures, mais encore aujourd’hui, le coût d’un DPO n’est pas forcément adapté aux petites entreprises…

Bon, pas grave, je vais tout faire sous-traiter !!!!

Dans le cas ou vous partagiez des données personnelles avec un sous-traitant (comptable, avocat, hébergeur de données numériques, coffre fort à la banque pour vos archives papiers – On n’est jamais trop prudent – …), Il faudra s’assurer à ce qu’il s’engage à être conforme au RGPD.
Dans le cas contraire, vous restez responsable des traitements que vous initiez, y compris ceux que vous sous-traitez si vous n’avez pas vérifié son engagement de conformité.
Il sera utile qu’il y ait un engagement contractuel entre vous, précisant votre demande de traitement et les obligations spécifiques en terme de sécurité que votre sous-traitant met en place.

Dans la famille ‘catégorie de données’, j’appelle un ami les données particulières !

Il faut faire particulièrement attention à certaines données personnelles :
– Les coordonnées bancaires, et c’est un secret pour personne
– Le numéro de sécurité social, ou NIR, qui permet un accès complet à l’état de santé par exemple… Ca laisse à réfléchir !

Mais plus particulièrement aux données sensibles :
– Les origines ethniques
– L’état de santé
– L’orientation sexuelle
– Les opinions politiques ou religieuses
– L’appartenance syndicale
– Les informations génétiques ou biométriques

Ces dernières imposent une analyse d’impact (PIA, ou AIPD), et il est fortement conseillé, sauf impératif, de ne pas en traiter !!!

Vous voulez en savoir plus ?

N’hésitez pas à nous contacter si besoin.

Le RGPD impose la mise en place d’une documentation, ainsi qu’un suivi des traitements avec des mises à jours régulières…

C’est pourquoi, ARINTECH conseil et accompagne les organismes de moins de 250 salariés dans leur mise en conformité.

contact@arintech.io

Comments

comments

 

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *