En ce mois de juin 2018, toutes les entreprises ou presque ont entendu parler du RGPD, le Règlement général sur la Protection des Données, qui est entré en vigueur le 25 mai 2018.
Au milieu de toutes les ressources disponibles, articles et infographies, il est difficile de trouver des outils simples pour bien comprendre l’incidence de ce nouveau règlement sur le fonctionnement général d’une petite ou moyenne entreprise.
Dans cet article, Déessi vous propose de répondre aux questions suivantes :
- Quel est l’essentiel à savoir concernant le RGPD ?
- Comment mettre en œuvre le RGPD simplement ?
- Comment constituer un registre de traitement des données ?
- Comment faire respecter le droit des personnes ?
- Quelles mesures mettre en place au niveau de votre système d’information ?
Quel est l’essentiel à savoir concernant le RGPD ?
Le RGPD concerne toutes les structures
Rappelons rapidement que toutes les entreprises sont assujetties au RGPD, du moment qu’elles collectent des données personnelles de personnes résidant sur le territoire européen. Cela concerne ainsi les structures, quelles que soient leur taille, et les TPE et les PME sont donc directement concernés.
Des obligations différentes à établir pour chacun
Bien entendu, toutes les entreprises ne sont pas soumises aux mêmes obligations, et il existe des mesures spécifiques pour les entreprises de plus de 250 salariés, mesures que nous n’allons pas évoquer ici.
Il existe également des mesures particulières pour les entreprises traitant des données sensibles, ou effectuant des traitements de données de masses et / ou systématiques.
Des mesures à prendre le cas échéant
Si votre structure fait partie de l’un de ces cas, nous vous conseillons de faire appel à un professionnel afin de vérifier la conformité de votre système et de vos procédures, et de procéder aux améliorations nécessaires pour respecter la loi.
Déessi propose deux audits de mise en conformité, avec des cabinets d’avocats partenaires. Pour en savoir plus, rendez-vous ici sur notre page Audit de conformité RGPD.
Comment mettre en œuvre le RGPD simplement ?
Vous êtes une TPE ou une PME et vous souhaitez mettre en œuvre le RGPD de façon efficace au sein de votre entreprise ? Voici les mesures simples que vous devez effectuer
- constituer un registre de traitement des données
- faire respecter le droit des personnes
- mettre en conformité votre système d’information
Comment constituer un registre de traitement des données ?
Le registre de traitement des données et un document qui formalise la manière dont les données personnelles sont exploitées au sein de votre entreprise.
Entre autre, ce document identifie :
- Les activités de votre entreprise qui nécessitent une exploitation des données personnelles
- Les objectifs poursuivis lors de cette exploitation
- Les types de données utilisées
- Les personnes ayant accès à ces données
- La durée de conservation des données
Vous trouverez ci-dessous un modèle de registre de traitement des données fourni par la CNIL : https://www.cnil.fr/sites/default/files/atoms/files/registre-reglement-publie.xlsx
Comment faire respecter le droit des personnes ?
Pour faire respecter le droit des personnes, vous devez informer ces dernières dès lors que vous collectez des données personnelles, et vous devez leur permettre de faire exercer leur droit de suppression, de modification ou de récupération de ces données.
Les questionnaires ou formulaires que vous utilisez pour recueillir ces données, typiquement, sur votre site web, doivent comporter un certain nombre d’informations (pourquoi vous collectez ces données,
Quelles mesures mettre en place au niveau de votre système d’information ?
Concernant le système d’information, le RGPD impose aux entreprises de garantir la sécurité des données personnelles. Des mesures de protection des données face aux menaces informatiques doivent donc être mises en place.
Certaines mesures sont simples et évidentes, comme par exemple, disposer de matériels et logiciels à jour, ou encore, avoir une politique stricte en ce qui concerne les mots de passe ou l’accès aux données sensibles. D’autres mesures sont plus spécifiques et nécessitent la mise en application d’une véritable politique de sécurité informatique, ou le recours à des outils spécialisés (pare-feux de nouvelle génération, anti-virus professionnels, etc)
Déessi publie chaque mois de nouvelles ressources pour vous aider à mieux protéger votre informatique.
N’hésitez pas à en consulter quelques-unes :
Sécurité informatique TPE / TPE : 3 moyens pour atténuer les risques
Déessi publie son livre blanc : “Sécurité informatique : les DSI témoignent !”
RGPD / GDPR : vérifiez votre conformité avec 3 quizzs interactifs