5 points pour rendre mon entreprise conforme au RGPD

Quelques rappels de base pour une conformité au RGPD en toute sérénité

C’est la CNIL (Commission Nationale de l’Informatique et des Libertés) qui est garante de la bonne application du Règlement Général sur la Protection des Données (RGPD) en France.

Il est vivement conseillé par la CNIL de nommer un délégué à la protection des données au sein de son organisation.

De fortes sanctions seront prévues en cas de non-respect de la loi. Une entreprise qui ne respecte pas le RGPD peut être contrainte de payer une amende représentant 4% de son chiffre d’affaires annuel. Le délégué à la protection des données peut aussi être tenu pour responsable en cas d’infraction. La CNIL a en effet annoncé que de nombreuses formalités disparaîtront mais qu’en contre-partie, la responsabilité des organismes sera renforcée.

Alors, comment rendre mon entreprise compatible avec le RGPD ?

5 points fondamentaux pour rendre mon entreprise compatible avec le RGPD

Le règlement s’applique aux données des partenaires commerciaux d’une entreprise, aux données des collaborateurs de cette entreprise, mais aussi aux sous-traitants dont la responsabilité est susceptible d’être engagée en cas de manquement.

1. Expliquer comment sont utilisées les données personnelles récoltées

Une entreprise qui collecte les données personnelles de ses prospects, de ses clients et de ses collaborateurs doit s’engager à n’utiliser ces données qu’à des fins qu’elle a indiquées au préalable sur une page web dédiée. Il est important d’être précis et de donner un maximum de détails sur le traitement de ces données.

2. Récolter simplement l’accord des visiteurs

Lorsqu’une entreprise met en place un formulaire de contact pour ses futurs clients, elle doit être en mesure de leur faire part de l’utilisation de leurs données personnelles. Ses futurs clients doivent pouvoir savoir pourquoi, comment et dans quel but la collecte de leurs données personnelles est effectuée.

Pour cela, il suffit :
– d’ajouter une case à cocher sur les formulaires concernés, obligeant les visiteurs à indiquer qu’ils ont bien compris comment seront utilisées les données transmises ;
– de présenter un lien renvoyant vers une page spécifique détaillant l’utilisation des données transmises.

3. Permettre au visiteur de consentir (ou pas) à la récupération des ses données personnelles

En mai 2017, Facebook a été sanctionné par la CNIL, qui l’a condamné à payer une amende de 150 000 euros. La CNIL avait accusé le réseau social de traiter les données personnelles de ses utilisateurs sans leur consentement. Comme l’a indiqué la CNIL dans un communiqué : « Il a notamment été constaté que Facebook procédait à la combinaison massive des données personnelles des internautes à des fins de ciblage publicitaire. Il a aussi été constaté que Facebook traçait à leur insu les internautes, avec ou sans compte, sur des sites tiers via un cookie. »

L’entreprise doit pouvoir prouver que cette personne a donné son consentement au traitement de données à caractère personnel la concernant.

4. Permettre au visiteur d’accéder à ses informations personnelles, de les modifier et de les supprimer

Un visiteur a le droit d’obtenir la suppression, dans les meilleurs délais, de données à caractère personnel le concernant et l’entreprise a l’obligation d’accéder à cette requête dans les meilleurs délais. Pour cela, il ne faut pas oublier de mettre en place des registres recensant les activités concernées par l’utilisation de données personnelles et toutes les informations associées (type de données, objectifs de la récupération, etc.).

5. S’assurer de la sécurité de son site et de ses outils de travail

Passer au HTTPS en installant un certificat SSL et s’assurer de la sécurité de son site et de ses postes de travail sont des recommandations de base. Rien de pire qu’un serveur d’hébergement plein de failles ou qu’un antivirus et un firewall gratuits …

Pour conclure

Chaque année, 300 contrôles sont effectués par la CNIL auprès des entreprises. La mise en application du RGPD est entrée en vigueur le 25 mai 2018.
Soit deux raisons pour ne plus attendre de se mettre en conformité !