Depuis la fin de la période transitoire de mise en ordre des entreprises au regard du RGPD (Règlement général relatif à la protection des données) en mai 2018, les entreprises tentent de se mettre en ordre au niveau du traitement des données à caractères personnel.

Un an après son application, toutes les entreprises ne sont pas en ordre.

Afin de vous aider à vérifier la mise en conformité, Légal PME vous propose une check-list en 10 étapes.

1 – Quelles données à caractère personnel ?

Dans un premier temps, les données à caractère personnel traitées par l’entreprise ainsi que l’objectif du traitement doivent être identifiés. Il peut s’agir, par exemple, du suivi et de la conservation des CV, des données salariales en vue du traitement des salaires, des données des fournisseurs, sous-traitants, ou clients dans le cadre de l’exercice de l’activité, de la comptabilité, etc.

Il convient également de prendre en compte la vidéosurveillance et les systèmes de géolocalisation (tracking ou badging) éventuels, qui relève également de cette législation.

2 – La politique de vie privée

Lorsque l’entreprise dispose d’un site Internet, des conditions d’utilisation ainsi qu’une politique relative à la gestion des données devraient, idéalement, y figurer.

Si celles-ci sont déjà existantes, elles doivent être adaptées ou à tout le moins, vérifiées, pour y reprendre la manière dont l’accès aux données à caractère personnel est sécurisé, la manière dont une personne peut accéder à ses données ou demander la suppression de celles-ci, les droits dont disposent la personne concernée, l’utilisation qui est faite des données, etc.

Et si l’entreprise envoie une newsletter, il convient de vérifier la base sur laquelle celle-ci est envoyée, la manière dont les adresses sont collectées, et informer les personnes de la possibilité, le cas échéant, de se désinscrire de la liste d’envoi.

3 – Centralisation des données auprès d’une personne unique

Au sein de l’entreprise, la personne en charge des différents aspects liés à la protection de la vie privée est identifiée. En outre, a-t-elle été formée afin de répondre à toute sorte demande faite par les clients, les fournisseurs, les travailleurs ?

La personne ressource doit également pouvoir faire face à diverses requêtes comme les demandes de rectification, de suppression, de transmission, ou aux demandes de contrôles.

Toutes les entreprises sont concernées par les contrôles. Les responsables du traitement sont tenus de respecter les règles et principes imposés par le RGPD.

4 – Le registre des traitements des données personnelles

Dans ce registre sont reprises toutes les actions effectuées par l’entreprise et liées aux données personnelles détenues, de quelque nature que ce soit.

Ce registre reprend, notamment, la durée de conservation de chaque donnée, le destinataire des données, les catégories de données personnelles visées, la finalité du traitement, le fondement légal du traitement, etc.

5 – Informer et sensibiliser en interne

Les règles relatives à la vie privée et au GDPR doivent être assimilées par chacune des personnes de l’entreprise : dirigeants, travailleurs, freelances, etc.

Une « mini-formation » interne, ou sur base de documentation établie par un juriste est pertinente, voire fortement utile.

6 – Délais des réponses

Des procédures internes doivent être établies afin de pouvoir répondre dans les délais requis aux différentes demandes telles le droit d’accès, de rectification, d’effacement, etc.

7 – Procédure en cas de pertes, vols ou fuites de données

Une fuite de données concerne, par exemple,

  • la perte ou le vol d’un ordinateur portable, d’une clé USB ou d’un smartphone, contenant une base de données des clients à caractère personnel non sécurisé ou peu sécurisé ;
  • une cyberattaque par un rançongiciel bloquant le système informatique de l’entreprise ;
  • le cryptage de données à caractère personnel par le responsable du traitement, mais ayant perdu la clé et donc dans l’incapacité de les décrypter ;
  • une coupure de courant importante bloquant l’accès aux serveurs, etc.

Une liste des actions à avoir en cas de de pertes, vols ou fuites de données, de manière facilement accessible, et ce, à tout moment doit être tenue au sein de l’entreprise.

Les informations reprises ci-dessous sont utiles et doivent y être reprises, pour plus de facilité et de suivi :

  • notification à l’autorité compétente (Autorité de Protection des Données (APD)) ;
  • notification à la personne physique concernée ;
  • mentions détaillées de la notification ;
  • responsabilité et registre.

Sous réserve de certaines conditions, la communication de la fuite des données auprès de l’APD doit avoir lieu immédiatement ou endéans les 72 heures.

8 – Avenant aux contrats des sous-traitants spécifique au RGPD

Lorsque les données sont traitées par un sous-traitant, un avenant aux contrats qui lient l’entreprise et les sous-traitant reprenant différentes mentions concernant le RGPD. Ceux-ci seront une preuve de votre mise en conformité envers le RGPD concernant vos différents partenaires.

Cet avenant balise également les données traitées par le sous-traitant, l’objectif du traitement, les responsabilités du sous-traitant en la matière.

9 – La sécurité

L’entreprise doit penser à la protection de ses ordinateurs, serveurs, mails, etc., par mot de passe, connexion cryptée (certificat SSL, sécurité de communication), logiciel pare-feu (firewall), logiciel anti-virus.

Sans oublier la protection physique et les contrôles d’accès des locaux.

10 – Les états membres

Chaque État membre peut fixer d’autres règles pour le traitement des données à caractère personnel dans le cadre de la relation de travail et ce, par le biais de la loi ou d’une convention collective. Les entreprises qui ont des établissements situés dans différents États membres, sont ainsi tenues de respecter toute éventuelle réglementation nationale spécifique en la matière.

En tant qu’entreprise, vous êtes en relation avec des prestataires de services situés au sein de l’Union Européenne ? En-dehors ? Avez-vous pensé à vérifier leur mise en conformité ? Ou, au contraire, vous n’avez pas encore mis en place les éléments imposés par le RGPD ?

Je prends contact avec Légal PME pour une mise en conformité complète de mon entreprise et un accompagnement pas une juriste qualifiée en la matière.

Allons-y !Allons-y !