Comment respecter la loi de protection des données en 8 étapes

le Dimanche 26 juillet 2020 à 18:00
Comment respecter la loi de protection des données en 8 étapes ?
Le RGPD (registre général de la protection des données) est devenu obligatoire, depuis 2018, pour toutes les structures européennes qui collectent des données. Qu'est-ce que le RGPD et qui est concerné ? Comment respecter la loi de protection des données ? Voici une check-list en 8 étapes.

RGPD : c'est quoi ?

Le registre général de la protection des données, nommé RGPD, est un texte réglementaire européen, paru le 25 mai 2018, faisant suite à la loi française Informatique et libertés de 1978. Il a pour but de renforcer la protection des données collectées afin de mieux respecter les droits de la personne. Ces données peuvent être :
  • des renseignements personnels : des noms, prénoms, dates de naissance, adresses, e-mails, sites web ;
  • des renseignements indirects : des numéros d'allocataire, d'assurance, de dossiers, de sécurité sociale.

À qui s'adresse le RGPD ?

Le RGPD est obligatoire pour les structures publiques ou privées européennes qui collectent des données, tous secteurs d'activité confondus. Il en va de même pour toute structure dont les clients sont européens. Il n'est pas nécessaire d'avoir un site internet pour devoir y être confronté, en effet, à partir du moment ou vous écrivez même sur un papier libre, un nom et prénom d'une personne vous êtes soumis à la création d'un registre.

8 étapes à suivre pour bien respecter la protection des données

1. Cataloguez tous vos fichiers

Que vous soyez un professionnel indépendant, un organisme ou une entreprise, vous avez créé plusieurs fichiers qui sont nécessaires au fonctionnement de votre activité. Regroupez-les par catégorie et faites-en l'inventaire dans un premier temps. Ils peuvent se présenter sous forme numérique ou papier. Voici des exemples de fichiers que l'on peut trouver dans les entreprises ou organismes :
 
  • clients ;
  • fournisseurs ;
  • sous-traitants ;
  • administrés ;
  • patients ;
  • élèves ;
  • stagiaires ;
  • allocataires ;
  • assurés.

2. Justifiez la collecte de ces données

Une fois l'inventaire de tous vos fichiers sous les yeux, déterminez leur finalité, la durée nécessaire de l'archivage, dans quelle catégorie ils se situent. Contactez aussi tous vos sous-traitants pour voir s'ils respectent eux aussi le RGPD. Bien que ce soit un travail long et fastidieux, vous verrez que vous allez gagner du temps par la suite.

3. Constituez un registre de collecte des données

L'importance de ce registre est de justifier la finalité de la collecte des données personnelles. Posez-vous les bonnes questions pour savoir si vous avez vraiment besoin de toutes les informations récoltées. L'inventaire des fichiers vous permettra de répondre à des questions telles que :
  • Quelles sont les catégories de données ?
  • À quoi me servent les données collectées ?
  • Quelles sont les informations inutiles ?
  • Quelles sont les informations utiles ?
  • Quelle est la finalité ?
  • Qui a accès à ces données et pourquoi ?
  • Combien de temps dois-je les conserver ?
Par exemple, si vous travaillez pour un cabinet médical, vous aurez besoin de l'identité du patient ainsi que du numéro de sécurité sociale afin d'établir le suivi médical et administratif. En revanche, si vous êtes coiffeur, un simple nom avec la prestation effectuée et la date suffiront. Vous pouvez demander aussi le numéro de téléphone et l'adresse mail du client, s'il est d'accord, afin de lui envoyer des offres, par exemple.

4. Mettez en conformité vos mentions légales

Il est important et obligatoire de rédiger vos mentions légales pour informer les personnes sur la loi RGPD entrée en vigueur en 2018. Vous pouvez trouver des modèles de mentions d'information auprès de la CNIL (commission nationale de l'informatique et des libertés) qui est une autorité administrative française indépendante. Elle veille au respect des libertés individuelles ou publiques, entre autres.

5. Demandez l'accord aux personnes pour la collecte de leurs données

En effet, la loi RGPD de mai 2018 exige que toute structure demande l'accord aux personnes physiques de collecter leurs données personnelles, en justifiant leur finalité. Le consentement de la personne physique peut être exprimé à l'oral ou à l'écrit. La CNIL conseille de faire apparaître sur votre site professionnel, un bandeau informatif sur la loi de protection des données en mentionnant la possibilité de s'opposer à la collecte de ses données, sans préjudice. Et si la personne accepte la collecte de ses données, sachez que ce consentement ne fait pas office de démarchage commercial ni de cadeau en tout genre.

6. Nommez un délégué de la protection des données

Aussi appelé DPO (Data Protection Officer), le délégué de la protection des données supervise la mise en conformité au RGPD dans la structure. Il est l'intermédiaire entre la structure et la CNIL. Il contrôle le respect de la loi et rend des comptes. Les organismes publics ainsi que les secteurs d'activité qui traitent des données à grande échelle ou sensibles, notamment dans le secteur pénal et judiciaire, ont l'obligation de nommer leur DPO. Les autres entreprises ou organismes privés ne sont pas contraints d'en nommer un. Cependant, la CNIL conseille fortement à toutes les structures privées quelles qu'elles soient de désigner son délégué à la protection des données afin de mieux respecter cette loi européenne.

7. Pensez à sécuriser vos données

Vous êtes responsable des données que vous collectez et vous devez tout mettre en œuvre afin de les protéger. Pour cela, veillez à renforcer la sécurité de vos fichiers. Voici plusieurs astuces afin de sécuriser au mieux vos données :
  • changez de temps en temps d'anti-virus ;
  • modifiez régulièrement vos mots de passe ;
  • utilisez le chiffrement des données dites sensibles ;
  • n'exposez pas à la vue les données ;
  • changez parfois les serrures des portes d'entrée, des bureaux ou des placards.

8. Anticipez et appliquez les procédures nécessaires à toute situation

Anticiper, analyser et justifier, sont les trois verbes à retenir. Pour palier à toute situation possible, vous devez connaître les procédures à suivre. Pour cela, la CNIL a tout prévu. Voici quelques situations dont vous pourriez faire face :
  • Une personne souhaite s'opposer au traitement des données : c'est le droit d'opposition au traitement et le droit à la limitation du traitement des données.
  • Une personne souhaite supprimer ses données : c'est le droit à l'oubli.
  • Une personne souhaite récupérer ses données : c'est le droit à la portabilité.
  • Enfin, en cas de fuite de données, contactez vite la CNIL. Le délai maximum pour le déclarer est de 72 heures.
En bref, la collecte des données doit être effectuée avec précaution et dans le respect des droits de chaque individu. Il est conseillé, pour toute structure, de nommer un délégué au contrôle du respect de la loi de protection des données. Il fera le lien entre l'entreprise et la CNIL qui s'inscrit dans une démarche d'information et d'accompagnement pour la mise en conformité au RGPD. Vous avez, à présent, toutes les cartes en main pour respecter la loi de protection des données en toute sérénité !

Catégories d'articles