Protection des données : les petites entreprises aussi concernées

Publié le 27/11/2017 Vu 844 fois 0
Légavox

9 rue Léopold Sédar Senghor

14460 Colombelles

02.61.53.08.01

Le règlement général européen sur la protection des données sera mis en œuvre le 25 mai 2018 pour améliorer la protection et la confidentialité des données et responsabiliser davantage les entreprises en développant l’auto-contrôle.

Le règlement général européen sur la protection des données sera mis en œuvre le 25 mai 2018 pour améli

Protection des données : les petites entreprises aussi concernées

Les données considérées comme personnelles sont nombreuses : nom, adresse, localisation, identifiant, date de naissance, IP…, autrement dit toutes les données qui permettent d’identifier une personne. Même si les données ne sont pas utilisées et traitées, à partir du moment où elles sont stockées au sein de l’entreprise, elles sont concernées par la réglementation.

Même chose en termes de forme : tous les fichiers, du tableur Excel aux bases de données de prospects, salariés ou visiteurs d’un site Internet ou d’une boutique physique, sont visés.

Se conformer au règlement en 3 étapes

Pour mettre en place une gouvernance des données personnelles, les entreprises doivent commencer par nommer une personne référente au sein de l’entreprise qui sera le pilote responsable de la mise en place des process et des outils. Si les entreprises n’ont pas l’obligation légale de nommer un DPO (Data Protection Officer ou Délégué à la Protection des Données), il est essentiel de désigner un porteur de projet sur le sujet.

Deuxième round, réaliser un audit, soit cartographier toutes les données personnelles et sensibles de l’entreprise, définir dans quels types de fichiers elles sont utilisées et comment elles sont gérées.

Enfin, pour chaque fichier identifié, l’entreprise doit passer au crible ses obligations et définir ses process et responsabilités pour s’assurer qu’elle est en conformité avec la loi. L’occasion de mettre en place plusieurs bonnes pratiques pour répondre aux nouvelles obligations liées à la RGPD, comme un process pour protéger les données dès leur conception – data protection de by design–, la vérification de la protection effective de ses données, l’élimination des données récoltées de façon illicite ou déloyale, la révision de ses procédures de consentement qui doit être clair et circonstancié.

Et si l’entreprise souhaite partager ses données personnelles avec ses partenaires, elle doit en préciser l’identité et la finalité du partage. C’est ce que l’on appelle la récolte opt-in. Enfin, avec la RGPD, les entreprises doivent être en mesure de respecter l’exercice du droit d’opposition, de rectification, d’accès direct, de portabilité et d’effacement des données.

Comment se mettre en conformité avec le règlement européen sur la protection des données personnelles ?

Vous avez une question ?

Posez gratuitement toutes vos questions sur notre forum juridique. Nos bénévoles vous répondent directement en ligne.