Le RGPD est avant tout législatif et non informatique. L’informatique est particulièrement exposée en raison des données qui sont stockées et traitées sur votre système d’information mais la mise en conformité ne peut pas être traitée par un informaticien. L’informaticien est là pour apporter des réponses et mettre en œuvre les procédures du responsable à la sécurité des données personnelles. Le responsable à la sécurité des données personnelles est un rédacteur qui écrit en bon français; il est vrai que ce pourrait être un informaticien, mais les talents de rédacteur sont assez rares dans la profession. Aucun logiciel ne peut résoudre la problématique du RGPD. Il n’y a pas d’obligation technique sur les logiciels (pour l’instant) à respecter des règles dites RGPD. Les logiciels dits « RGPD » ont des fonctions pour crypter ou pseudonimiser les données personnelles et faciliter la tâche de l’utilisateur lorsqu’il y a une demande de suppression, ça s’arrête là. Le fait de posséder un logiciel « compatible RGPD », ne vous permet en aucune façon d’être en conformité, ce n’est qu’une aide.

1) Ouvrez un registre de vos traitements et données

Dans ce document, qui peut être sur papier ou sur informatique mais qui doit pouvoir être présenté en cas de contrôle,, vous allez recenser un par un tous les fichiers informatiques dont vous disposez et dans lesquels figurent des données concernant des personnes physiques. Il peut s’agir par exemple du fichier des personnes suivantes :

  • vos salariés ;
  • vos clients ;
  • vos prospects ;
  • vos fournisseurs.

Dans ce registre, vous allez créer une première fiche listant tous les fichiers ci-dessus, puis une fiche individuelle pour chacun de ces fichiers, dans laquelle vous allez préciser :

  • Quelle est la raison d’être de ce fichier  (par exemple : gestion de la paye, gestion des clients, recherche de clients, passation de commandes, etc.) ;
  • La nature des données conservées (par exemple pour la paie : nom, prénom, date de naissance, salaire, etc) ;
  • Le nom des personnes ou des prestataires qui ont accès aux données (exemple : personne chargée de la paye, direction, commerciaux, etc. ;
  • La durée de conservation de ces données (durée durant laquelle les données sont utiles d’un point de vue opérationnel, et durée de conservation en archive).

Pour vous faciliter la tâche, la CNIL propose un exemple de registre dont vous pouvez vous inspirer.

2) Faites le tri dans vos données

Dans le cadre strict du RGPD, la conservation de données superflues fait peser des risques importants :

  • Plus vous demandez de données, plus vous devez justifier de leur bonne utilisation et de leur finalité ;
  • Plus vous stockez de données personnelles, plus il est compliqué d’assurer leur protection (sans parler de remplir toutes les autres obligations imposées par le RGPD, comme le droit à l’oubli ou la portabilité) ;
  • Plus vous cherchez à obtenir des informations qui ne sont pas en lien direct avec votre activité, plus vous vous exposez à des sanctions de la part de la CNIL lors des contrôles.

Aussi, maintenant que vous êtes en possession du registre ci-dessus, commencez par vérifier (pour chaque fiche créée) :

  • que les données que vous traitez sont nécessaires à votre activité (par exemple, il n’est pas utile de savoir si vos salariés ont des enfants, si vous n’offrez aucun service ou rémunération attachée à cette caractéristique) ;
  • que vous ne traitez aucune donnée dite « sensible » ou, si c’est le cas, que vous avez obtenu l’autorisation de les traiter (constituent par exemple des données sensibles des informations concernant l’origine raciale ou ethnique de la personne, ses opinions politiques, philosophiques ou religieuses, son appartenance syndicale, sa santé ou sa vie sexuelle) ;
  • que seules les personnes habilitées (au sein de votre entreprise ou chez vos prestataires) ont accès aux données dont elles ont besoin ;
  • que vous ne conservez pas vos données au-delà de ce qui est nécessaire.

A cette occasion, pensez à éliminer de vos formulaires de collecte et de vos bases de données toutes les informations qui vous sont inutiles. Le cas échéant, redéfinissez qui peut accéder aux données du fichier et mettez en place des règles automatiques d’effacement ou d’archivage au bout d’une certaine durée dans vos applications.

3) Informez les personnes fichées

La transparence absolue vis-à-vis des personnes fichées est le grand enjeu du RGPD. A ce titre, vous devez systématiquement donner aux personnes dont vous conservez des données (clients, salariés, etc.) les informations suivantes :

  • pourquoi vous collectez des données les concernant ;
  • ce qui vous autorise à traiter ces données (il peut s’agir du consentement de la personne concernée, de l’exécution d’un contrat, du respect d’une obligation légale qui s’impose à vous, etc.) ;
  • Qui a accès aux données (indiquez des catégories : les services internes compétents, un prestataire, etc.) ;
  • Combien de temps vous les conservez (exemple : « 5 ans après la fin de la relation contractuelle ») ;
  • Les modalités selon lesquelles les personnes concernées peuvent exercer leurs droits (via leur espace personnel sur votre site internet, par un message sur une adresse email dédiée, par un courrier postal à un service identifié).

A cet effet, s’agissant par exemple d’un fichier clients, vous pouvez ajouter sur les documents à partir desquels vous collectez les données (bons de commandes, devis, coupons-réponses, fiches de contact, etc.) ou dans les CGU de votre site internet, une mention sur le modèle de celle-ci (à adapter selon votre cas) :

« Les informations recueillies sur ce formulaire (ou sur ce site) sont enregistrées dans un fichier informatisé par …(nom du détenteur du fichier – votre société par exemple)… pour …(par exemple : permettre de vous adresser des contenus adaptés à vos centres d’intérêt, gérer votre compte, etc.). Elles sont conservées pendant …(durée de conservation)… et sont destinées au service …(exemples : service clients, marketing, facturation, etc.). Conformément à la loi « informatique et libertés » du 6 janvier 1978 modifiée en 2004, vous bénéficiez d’un droit d’accès et de rectification aux informations qui vous concernent, droit que vous pouvez exercer en vous adressant à … (nom de la personne ou du service + adresse et adresse mail). Vous pouvez également, pour des motifs légitimes, vous opposer au traitement des données vous concernant.»

Pour un fichier de salariés, vous pouvez par exemple afficher dans vos locaux (ou insérer dans le règlement intérieur ou sur les bulletins de paye) une mention de ce type (à adapter à votre cas) :

« Dans le cadre du règlement général européen sur la protection des données des personnes physiques (RGPD), nous vous informons que notre société (ou le(s) service(s) [citer le nom du ou des services concernés] dispose(nt) de moyens informatiques pour la gestion de son personnel. Les informations enregistrées sont réservées à l’usage du (ou des) service(s) concerné(s) et ne peuvent être communiquées qu’aux destinataires suivants : [préciser les destinataires]. Conformément aux articles 39 et suivants de la loi n° 78-17 du 6 janvier 1978 modifiée, relative à l’informatique, aux fichiers et aux libertés, toute personne peut obtenir communication et, le cas échéant, rectification ou suppression des informations la concernant, en s’adressant au service [citer le nom du service ou des services concernés] ».

Par ailleurs, si vous avez un site internet, n’oubliez pas les mentions légales et la mention d’information sur les cookies (si vous en utilisez). Ces mentions étaient déjà obligatoires auparavant, elles sont encore plus sensibles désormais.

4) Sécurisez vos données

Selon le RGPD, les entreprises sont tenues à une obligation légale d’assurer la sécurité des données personnelles qu’elles détiennent et elles doivent donc prendre les mesures nécessaires à cet effet.

C’est ainsi que, en cas de contrôle, vous devrez être en mesure de justifier qu’aucune personne non autorisée ne peut avoir accès aux fichiers que vous détenez.

Bien entendu, la première des choses à faire à cet égard est de veiller à sécuriser les accès aux locaux dans lesquels se trouvent ces fichiers.

Ensuite, sur le plan informatique, pensez à vérifier vos antivirus, à changer régulièrement vos mots de passe et à utiliser des mots de passe d’autant plus complexes que le fichier est sensible.

S’agissant d’un site internet, veillez, avec votre développeur le cas échéant, à vous protéger au maximum contre les risques de piratage.

Enfin, pensez également à mettre en place une procédure de sauvegarde et de récupération des données en cas d’incident.

Pour aller plus loin

Attention : les 4 actions proposées ci-dessus ne concernent que les très petites entreprises, qui ne possèdent que des fichiers basiques (clients, prospects, salariés) et ne contenant pas de données sensibles. Mais une fois que vous les aurez exécutées, vous pourrez vous considérer comme étant en règle vis-à-vis du RGPD. Elles vous permettent en effet de respecter l’essentiel de l’esprit de ce nouveau règlement (transparence et sécurisartion des données) et vous éviteront sans aucun doute les sanctions de la CNIL en cas de contrôle.

Cependant, n’oubliez pas en supplément que si une personne figurant dans vos fichiers fait valoir son droit d’accès ou de rectification des données la concernant, vous devez répondre à sa demande sans délai ! Ceci vous évitera qu’elle aille se plaindre auprès de la CNIL, ce qui pourrait vous occasionner un contrôle, ou même qu’elle vous poursuive en justice pour obtenir des dommages-intérêts.

Par contre, il est clair que si vous disposez de fichiers très importants ou si vous travaillez essentiellement par internet, les choses seront peut-être pour vous un peu plus complexes. Il est possible d’ailleurs que vous soyez tenu(e) dans ce cas de nommer un DPO dans ce cas, consultez le site de la CNIL pour de plus amples informations. Néanmoins, les 4 principes de bases ci-dessus restent les mêmes et doivent être respectés : recenser vos fichiers, informer les personnes fichées en toute transparence, maîtriser et sécuriser vos données.

Enfin, nous vous rappelons que la CNIL et BPIfrance vous propose un guide pratique en ligne conçu pour vous faciliter la tâche. Il vous suffit de cliquer sur ce lien :

|