Suivez-vous les règles de conformité du Règlement générale sur la Protection des Données ?
Deux ans après la mise en vigueur du RGPD, êtes-vous à jour sur les règles de conformité RGPD ? Suivez ces quatre étapes afin d’être sûr que vos données sont bien protégées.
📘 Recensez vos fichiers de données
En faisant un inventaire de vos fichiers de données, vous aurez une vision d’ensemble. Identifiez également les activités de votre entreprise qui nécessitent la collecte et le traitement des données, vous pourrez ainsi gérer plus facilement vos informations.
Avec l’aide du registre des activités de traitement de la CNIL, créez une fiche pour chaque activité recensée avec ces points :
– l’objectif poursuivi : la fidélisation client, ou l’e-mailing,
– les catégories de données utilisées : mail, prénom, genre (pour l’e-mailing),
– l’accès aux données : service informatique, prestataires, partenaires commerciaux etc,
– la durée de conservation de ces données : durée durant laquelle les données sont utiles opérationnellement et durée de conservation en archives.
Ce registre est sous la responsabilité du dirigeant de l’entreprise.
A noter qu’il n’est pas nécessaire de faire un registre dans le cadre d’un événement ponctuel tel que l’inauguration d’un événement ou lieu.
✔️ Faites un tri dans vos données
La vision d’ensemble de vos fichiers de données permet le tri dans vos informations, entre ce dont vous avez réellement besoin et les données inutiles.
– Sélectionnez les données réellement nécessaires pour vos activités,
– Vérifiez que vous ne traitez aucune donnée dite « sensible » ou, si c’est le cas, que vous avez bien le droit de les traiter,
– Sécurisez l’accès aux données, seules les personnes habilitées ont accès aux données dont elles ont besoin,
– Respectez la durée de conservation des données, ne conservez pas vos données plus que de besoin.
C’est dès le début que vous devez minimiser la collecte de données en éliminant les procédures de collectes d’informations inutiles.
😊 Respectez les droits des personnes
A chaque collecte d’informations, la procédure doit comporter des mentions d’informations. Plus vous resterez transparent dans l’utilisation et le but de la collecte de données plus vous recevrez les informations personnelles. C’est alors un devoir de respecter la confiance de vos prospects.
Pour cela il vous faut vérifier que la procédure de collecte comporte :
L’objectif de la collecte des données
Par exemple pour créer un groupe VIP de testeurs de produits ou de services.
L’autorisation de traiter ces données
Il peut s’agir du consentement de la personne concernée, du respect d’une obligation légale qui s’impose à vous, de votre « intérêt légitime ».
L’accès aux données
Qui a accès aux informations collectées ? Les partenaires, l’entreprise etc.
La durée de conservation
La durée de conservation des données lorsqu’elles sont opérationnelles.
Les modalités de droit
Les personnes concernées peuvent-elles exercer leurs droits (effacer, modifier leurs données) via leur espace personnel sur votre site internet ou par courrier ?
Si les données sont envoyées hors de l’Union européenne, il faut que le pays et l’encadrement juridique soient précisés.
Dans le cas où les mentions sont trop longues, vous pouvez mettre en place une politique de confidentialité.
🔐 Sécurisez vos données
Lorsque vous collectez des données, vous garantissez la sécurité de ces informations. La sensibilité des données que vous traitez, et les risques en cas d’accident, vous imposeront une politique de sécurité plus ou moins forte.
C’est pour cela que vous devez réaliser différentes actions pour la sécurité de vos données. Avec une vigilance sur les points suivant :
– mises à jour des antivirus et logiciels
– changement régulier des mots de passe
– utilisation de mots de passe complexes
– chiffrement des données
❓ Quelques questions pour savoir si les règles de conformité du RGPD sont appliquées
– Les mots de passe des comptes utilisateurs internes et externes sont-ils assez complexes ?
– Y-a-t’il une procédure de sauvegarde et de récupération des données en cas d’incident ?
– Mes employés sont-ils formés pour reconnaître les tentatives de vols de données ?