Vous êtes une PME, et comme vous considérez que vos prospects et vos clients sont une richesse inestimable, vous avez constitué avec le temps une base de données personnelles : un simple fichier Excel qui vous sert à gérer vos relations, envoyer régulièrement un mail commercial ou un article de blog.
Avec le RGPD, vous voilà maintenant suspect d’utiliser vos datas à des fins douteuses qui ne respectent pas les droits de chaque personne. Même si vous n’avez jamais rien fait de mal – et n’envisagez pas de vous attaquer à vos clients et prospects de façon malveillante – vous devez vous mettre en conformité. Avant le 25 mai !
Voici les 6 étapes à respecter :
1. Désigner un pilote,
« Délégué à la Protection des Données », il sera en charge d’informer, de contrôler et d’organiser les actions à mener pour être en conformité avec le RGPD.
2. Cartographier les traitements de données personnelles
Tout d’abord en listant l’ensemble des données personnelles en votre possession : les responsables de ces traitements (chez vous et vos sous-traitants), les catégories de données, les objectifs, les flux de données entre les entités.
Vous mettrez ensuite en place un registre des traitements : qui collecte ces données, pour quelle utilisation, où sont-elles stockées et comment sont-elles sécurisées ?
3. Prioriser les actions à mener
Grâce à votre registre, et en fonction des traitements les plus à risque en termes de droits et de liberté des personnes concernées, vous établirez un calendrier des actions prioritaires à mener.
4. Mener des analyses d’impact
C’est obligatoire si vous détenez des données qui comportent des risques élevés pour la liberté et les droits des personnes concernées. Sinon c’est facultatif, même si c’est recommandé. Le logiciel de la CNIL, téléchargeable ici, peut vous y aider.
5. Organiser les processus interne
C’est une nouvelle organisation avec des procédures adéquates qu’il vous fait adopter dès la récolte des données : information et formation des collaborateurs, traitement des personnes souhaitant exercer leurs droits, anticipation des violations de données auprès de l’autorité compétente, qui reste la CNIL.
6. Documenter la conformité
Vous devez apporter la preuve – et tenir ces preuves à jour – que vous êtes en règle en rendant accessible les documents qui l’attestent. Ce sont principalement du registre des traitements, de l’information aux personnes et des contrats définissant les rôles et responsabilités des acteurs, notamment les contrats avec les sous-traitants.
Oui, je sais, ça fait peur
Si vous n’êtes pas en conformité, la première amende se monte à 10 millions d’Euros (ou 2% du CA mondial). Mais cette amende ne viendra qu’après un avertissement puis une injonction à cesser la violation et, dans certains cas, une suspension temporaire.
Je comprends que cela vous semble bien compliqué. Dans un prochain – et dernier article sur le RGPD – nous verrons ce qui va changer concrètement dans le rapport entre les internautes et les entreprises.