Pour rappel, le règlement général sur la protection des données (RGPD) s’applique à toute organisation, publique et privée, qui traite des données personnelles pour son compte ou non, dès lors qu’elle est établie sur le territoire de l’Union européenne ou que son activité cible des résidents européens.
Le guide pratique de sensibilisation au RGPD pour les petites et moyennes entreprises(2) le rappelle d’ailleurs d’emblée : pas de régime de faveur pour les PME avec ces nouvelles obligations qui incitent à « plus de transparence dans vos relations avec vos interlocuteurs : clients, salariés, fournisseurs… ». Un cercle vertueux, qui valoriserait l’« image de marque », et améliorant l’« efficacité et la productivité » grâce au principe d’exactitude et de mise à jour des données enregistrées. L’application du RGPD permettrait une meilleure gestion de l’entreprise en ne collectant que les données nécessaires, dans une optique de pertinence après identification des besoins réels.
En appliquant ces principes de concert avec le renforcement de la sécurité des données, les donneurs d’ordre ainsi que les clients seraient rassurés et l’avantage concurrentiel se verrait renforcé.
Le guide liste une procédure en quatre temps pour se mettre en conformité avec les règles de protection des données et hisser son entreprise à un niveau de performance jamais atteint :
→ identifier les activités principales nécessitant une collecte de données, puis créer un fichier pour chacune en précisant l’objectif poursuivi, les catégories de données utilisées, la durée de conservation et le destinataire de ces données. Le registre est placé sous la responsabilité du dirigeant, qui n’a pas à y faire mentionner les traitements occasionnels ;
→ vérifier que les données utilisées sont nécessaires aux activités, que leur durée de conservation n’est pas excessive et qu’aucune donnée dite « sensible » n’est traitée sans autorisation ;
→ vérifier que le support de collecte (questionnaire, formulaire…) explique la raison de la collecte ainsi que les autres informations légales (fondement juridique, durée de conservation, modalités d’accès, de rectification et d’opposition, personnes ayant accès aux données). Les personnes doivent avoir la possibilité de contacter facilement l’entreprise pour exercer leurs droits. La CNIL conseille à cet égard d’être réactif dans le traitement de la demande, pour respecter le délai légal (un mois) mais aussi pour « se mettre à l’abri des critiques sur les réseaux sociaux » ;
→ sécuriser les données, en mettant à jour les antivirus et logiciels, en changeant régulièrement les mots de passe… Pour vérifier le niveau de sécurité de ces derniers, il est recommandé de vérifier « combien de fois vos utilisateurs activent la fonctionnalité “oubli de mot de passe” chaque année. Si le taux est faible, voire nul, c’est que votre politique de gestion n’est pas assez exigeante ».
Enfin, le guide alerte sur les données dites « sensibles » et sur certains cas, comme l’évaluation d’aspects personnels ou la notation d’une personne, en préalable par exemple à la mise en place d’un plan d’aide, qui nécessitent une vigilance particulière, qui sera, à n’en pas douter, le pain quotidien des établissements et services sociaux et médico-sociaux.
(2)