Informatique
RGPD : tout dépend du volume des données
Au moment de se mettre en conformité avec le RGPD, les entreprises qui collectent peu de données personnelles et possèdent peu de données sensibles doivent surtout faire preuve de bon sens, selon Bpifrance Le Lab. Conseils.
Au moment de se mettre en conformité avec le RGPD, les entreprises qui collectent peu de données personnelles et possèdent peu de données sensibles doivent surtout faire preuve de bon sens, selon Bpifrance Le Lab. Conseils.
Dans un mois, le 25 mai, entre en application le règlement général sur la protection des données (RGPD). Ce nouveau règlement harmonise les règles en Europe en offrant un même cadre juridique à toutes les entreprises européennes. Il vise aussi à limiter les distorsions de concurrence en imposant ces obligations à toutes les entreprises étrangères proposant des produits ou services aux Européens.
Toutes les entreprises sont donc concernées, mais « si les données personnelles ne sont pas au cœur de votre activité, les moyens à déployer pour vous mettre en conformité au RGPD ne seront pas très importants », rassure Bpifrance Le Lab dans un document dédié aux PME. Tout dépend du volume et de la sensibilité des données traitées.
Une donnée personnelle, c’est une information se rapportant à une personne physique identifiée ou identifiable directement ou non, explique le législateur. Ainsi, un identifiant, un numéro de téléphone, une voix, une image, un numéro de Sécurité sociale sont autant de données personnelles. Des bases qui permettent d’identifier des personnes en croisant des données (âge, sexe, rue…) sont considérées comme un traitement de données personnelles, par exemple, les informations recueillies pour une carte de fidélité, une livraison ou une facture. Le RGPD concerne ces données qu’elles soient sous forme papier ou numérique. Les fichiers ne contenant que des données d’entreprise ne sont pas concernés.
Se mettre en conformité, et le rester
Pour se mettre en conformité, il s’agit de recenser les fichiers concernés. La Commission nationale de l'informatique et des libertés (Cnil) propose sur son site un modèle de registre. Pour chaque activité qui nécessite la collecte de données, Bpifrance recommande de réfléchir à l’objectif poursuivi (par exemple la fidélisation), aux catégories de données utilisées, à qui a accès à ces données et à leur durée de conservation, dorénavant limitée par la loi. Vérifiez ainsi si les données sont utiles, si elles sont correctement protégées et si elles ne sont conservées que le temps nécessaire. Plusieurs outils sont à votre disposition via la Cnil ou les fédérations professionnelles, qui permettent d’avoir l’avis d’entrepreneurs de votre secteur.
Tout n’est pas que contraintes dans cette nouvelle réglementation, selon Bpifrance, qui explique que le RGPD peut être l’occasion de « valoriser votre image d’entreprise sérieuse et responsable » auprès de particuliers mis en confiance. Le RGPD implique aussi une gestion rigoureuse des fichiers de données, qui doivent être à jour, ce qui n’est pas sans augmenter l’efficacité de la prospection commerciale. En se posant les bonnes questions sur les données à collecter, les investissements relatifs à cette recherche sont optimisés. Enfin, ces données doivent être protégées, elles sont sous votre responsabilité. C’est l’occasion de prendre des mesures, physique ou informatique. De la même manière que les accès à vos locaux abritant des coordonnées bancaires doivent être sécurisés, vos systèmes informatiques doivent être protégés des attaques malveillantes, dont les PME sont aussi de plus en plus souvent victimes.
N’oubliez pas les données de vos collaborateurs !
Une entreprise est amenée à recueillir les données personnelles de ses salariés notamment pour la gestion administrative du personnel… Vous disposez ainsi de coordonnées bancaires, de la liste des ayants droit pour les mutuelles, des coordonnées des personnes à prévenir en cas d’urgence… À vous de garantir la sécurité et la confidentialité de ces données. Même sur son lieu de travail, un employé a le droit au respect de sa vie privée et à la protection de ses données personnelles. Pour ce faire, ne collectez que les données dont vous avez vraiment besoin. La surveillance des employés doit être justifiée par les impératifs de l’entreprise et ne doit pas être permanente. Enfin, jouez la transparence, notamment avec les représentants du personnel.
