7 bons réflexes pour bien maîtriser la protection
des données personnelles au quotidien

 

Depuis le 25 mai 2018, toutes les entreprises doivent s’être mises en conformité avec le Règlement général sur la protection des données (RGPD). Un dossier juridique et technique de plus ? Justement non. Notre objectif est de vous présenter en format check-list les habitudes à prendre pour adopter au quotidien une bonne gouvernance des données personnelles.

Quelle que soit sa taille, une société peut être concernée par le Règlement général sur la protection des données. La question primordiale qui se pose : cette entreprise constitue-t-elle des fichiers qui pourraient permettre d’identifier des personnes physiques ? Si oui, le RGPD oblige alors à s’interroger sur les procédures appliquées dans l’entreprise et à instaurer quelques bonnes pratiques. Le cœur du sujet : remettre le pragmatisme et l’usage au centre de la stratégie de captation et de stockage des données. Une donnée n’a de sens à être collectée que si elle est exploitée. Le b.a-ba vous allez dire… En effet, et pourtant, avec la surmédiatisation du phénomène Big data dans les entreprises ces dernières années, certaines d’entre elles ont perdu le fil de l’usage. Se posant des contraintes en matière de protection des données personnelles, qui pourraient parfois être évitées.

 

Voici nos 7 conseils pour travailler efficacement demain vos données et rester « GDPR-friendly » (ou « RGPD conforme »).

 

1. Désigner un référent RGPD

Le Délégué à la protection des données (à savoir : Data protect owner) est la cheville ouvrière de la bonne application du règlement européen RGPD. Sa nomination est obligatoire pour toutes les organisations qui gèrent en activité de base des données à large échelle ou des données dites « sensibles ». Elle est recommandée dans les autres cas. Il n’existe pas de profil type de DPO, mais il va de soi qu’il faut que cette personne réunisse suffisamment de compétences techniques et juridiques. Mais surtout, que son positionnement dans l’organisation lui permette d’être efficace.

 

Interview du DPO de Franfinance

2. Tenir à jour la liste de ses fichiers

Point de départ : recenser toutes les activités de l’entreprise qui nécessitent la collecte de données. Ensuite, constituer un registre dans lequel un mémo décrit chaque traitement, avec l’objectif poursuivi (exemples : recrutement, gestion des badges d’accès, démarchage prospects, suivi clients, etc.). Ce descriptif énumère notamment le type de données utilisées, les personnes qui peuvent y accéder, la durée de conservation des data, etc.

3. Ne collecter que les données appropriées

La finalité d’un traitement détermine la nature des données collectées. Toute donnée superflue doit être bannie. Surtout quand il s’agit de données dites « sensibles » ! Cette discipline permet aussi à l’entreprise, à terme, de limiter au strict nécessaire ses coûts de collecte et de stockage numérique.

4. Être transparent

Lors de la collecte des données, les personnes concernées doivent être clairement informées des objectifs poursuivis et des conditions d’utilisation de leurs données. Les modalités d’accès et de rectification doivent être mentionnées. L’idéal est de rendre publique sa politique globale en matière de traitement des données. Une information claire et complète est de nature à rassurer clients, collaborateurs, partenaires et ainsi à valoriser l’image de marque d’une entreprise.

5. Respecter le droit des personnes concernées

Lorsqu’un collaborateur, un client ou un fournisseur demande à consulter, à rectifier, voire à ce que les données le concernant, soient supprimées, mieux vaut le faire dans les meilleurs délais. De telles requêtes, correctement gérées, sont autant d’occasions de renouer le contact avec des interlocuteurs qui, parfois, sont en train de prendre de la distance avec l’entreprise.

6. Établir une règle du jeu avec ses sous-traitants

Les sous-traitants sont tenus d’intégrer dans leurs services un objectif de respect des données personnelles. Ils doivent aussi établir un registre des activités de collecte et de traitement de données pour le compte de leurs clients. Le mieux : formaliser contractuellement les obligations réciproques des donneurs d’ordres et des sous-traitants.

7. Protéger les données en sa possession

Améliorer la sécurité physique et informatique des données concernant des tiers implique de revisiter sa propre sécurité. Quelles sont les zones de risques de son activité et les procédures mises en place par son organisation ? Sauvegardes, risques de piratage, risques d’intrusion, confidentialité, habilitations, gestion des mots de passe, chiffrement… les sujets sont nombreux et toujours porteurs de possibles améliorations.

 

Vous êtes constructeur, distributeur et cherchez à dynamiser vos ventes de matériels via des solutions de leasing ?
Contactez-nous.