Conformité RGPD : Les bases à mettre en place pour rendre votre entreprise RGPD

Avec le temps, les données des utilisateurs sont devenues, pour les entreprises, une monnaie à la valeur inestimable. C’est dans ce contexte, que les organisations gouvernementales ont dû établir des règles à respecter afin de protéger la vie personnelle des utilisateurs et leurs données ! 

Plusieurs réglementations ont été mises en place avec les années, jusqu'en 2016, quand la Commission européenne à décider d’instaurer  plusieurs normes qui vont changer et apporter de bonnes pratiques aux différents sites sur Internet mais aussi dans l’organisation interne des entreprises : le RGPD..

Qu’est-ce que le RGPD ?

Le Règlement Général sur la Protection des Données, plus communément appelé RGPD est une réglementation qui permet de réguler l’utilisation et le stockage des données à caractère personnel aux entreprises.

Une donnée à caractère personnel est une donnée permettant l’identification d’un individu, celle-ci peut se faire grâce à un nom, un prénom, un lieu de naissance.. Dès qu’une donnée qualitative est collectée et que celle-ci implique un potentiel risque pour l'utilisateur alors le RGPD s’applique.

L’ensemble des entreprises sont concernées, peu importe leurs secteurs d’activités, tant que celles-ci collectent des données personnelles dans le cadre de son activité, alors ces organisations doivent respecter le règlement.

En France, c’est la CNIL qui est là pour informer et conseiller les utilisateurs afin de les aider à protéger leurs données de la meilleure des façon sur Internet.

RGPD : un enjeu majeur pour les entreprises d’aujourd'hui

La protection des données personnelles, c’est montrer à ses utilisateurs que l’entreprise possède une bonne hygiène informatique. L’apparition des outils et services dans les organisations a engendré une explosion d’utilisation de données (qualitative et quantitative), dont beaucoup à caractère personnel. 

Les entreprises doivent alors pouvoir gérer les données de manière correcte et efficace pour maintenir leur activité. En effet, de nombreux risques pèsent sur les organisations, et une mauvaise gestion des données collectées peut engendrer une pénalité, amende ou même l’arrêt de l’activité de l’entreprise en attendant une remise à plat des normes imposées par la réglementation RGPD !

Cette réglementation marque une nouvelle approche dans la régulation, et demande aux organisations de prouver qu’elles sont conformes, sans attendre l’intervention d’un acteur externe. Il y a donc plusieurs bonnes pratiques à mettre en place pour être sûr que votre entreprise soit conforme aux différentes réglementations.

Les 10 bonnes pratiques pour se conformer aux normes RGPD !

Être conforme aux règles mises en place par le RGPD : c’est mettre en place des bonnes pratiques, des outils qui permettront à votre organisation d’éviter les pénalités et de construire des bases solides pour vos utilisateurs comme, votre organisation en interne.

Étape 1 : Choisissez une personne en charge du RGPD

La première étape pour votre entreprise sera de nommer un responsable en charge du traitement des données RGPD. Habituellement, c’est le PDG ou le DPO (Délégué à la protection des données) de l’organisation qui est responsable du traitement et de toutes les tâches que cette mission implique. 

Il représente donc l'entreprise au niveau pénal en cas d’action en justice, que ce soit pour une petite organisation comme une grosse entreprise, c’est donc une tâche sensible qui demande un traitement minutieux et sans faille.

Étape 2 : Cartographiez les données personnelles de l’entreprise

Le RGPD impose de cartographier les données à caractère personnel que vous collectez de manière à pouvoir les classifier selon leur type (manuel ou automatique), et pouvoir les traiter plus facilement ! 

Un registre bien construit imposera à votre équipe de se poser plusieurs questions :

-Quels outils stockent et traitent les données personnelles ? 

Aujourd’hui, toutes les données sont traitées dans les CRM, éditeurs de mailing, et boites mail etc. Nous vous préconisons donc d'identifier les différents outils sur lesquels se trouvent ses données et le niveau d’importance qu’il faudra porter à ces outils lors du traitement des données.

-Un bon traitement vous imposera aussi de vous demander quels types de données on trouve dans ces outils ? 

On retrouvera donc les informations qui vous permettront d'identifier directement l’un de vos utilisateurs grâce à leur nom,  prénom, numéro client, etc.

Étape 3 : Mettez en place un registre des traitements de données personnelles

Après la cartographie, faite place au registre des activités de traitement : 

Ce document obligatoire permet aux entreprises de recenser l'ensemble des données collectées afin de faciliter le traitement des données personnelles. 

Un traitement, est tout ce qui peut possiblement être fait sur une donnée. Concrètement un traitement c’est une utilisation d’un fichier contenant un groupe de données personnelles.

Il convient de renseigner, dans ce registre plusieurs éléments clé qui pourront faciliter le traitement :

-Pourquoi collectez-vous ces données ? Chaque donnée doit avoir une utilité précise, un objectif en lien avec sa collecte par votre entreprise. 

Cette finalité doit vous guider tout au long du traitement des données : si par mégarde vous n’utilisez pas les données en cohérence avec cet objectif, alors il serait temps de nettoyer votre CRM et de vous recentrer sur des objectifs concrets.

-Avez-vous le droit de collecter ces informations ? Chaque collecte doit être autorisée soit par l’individu lui-même, soit parfois par la loi qui vous oblige à détenir certaines informations (par exemple les bulletins de salaire de vos employés).

-Combien de temps gardez-vous ces données ? Leur durée de conservation doit être cohérente et justifiée au regard de l’objectif de leur traitement. La CNIL a mis en place un guide pratique qui vous permettra de comprendre comment traiter les données selon leur degré d’importance.

-Qui a accès à ces données ? Identifiez les acteurs auxquels les données seront partagées, y compris les sous-traitants. Attention ! Ces informations doivent être accessibles auprès des personnes compétentes et formées aux normes RGPD.

Étape 4 : Créer une bannière de cookies conformes et collectez les consentements

Les cookies sont les informations récoltées lors de la visite de l’un de vos utilisateurs sur votre site web. Ces informations peuvent être très utiles pour adapter vos produits et services selon l'expérience de vos utilisateurs envers les différents éléments qui composent votre page (bouton, lien, cta, etc.)

Le RGPD, impose aux entreprises déposant des cookies sur leur site internet, d’informer les utilisateurs et surtout de recueillir leurs consentements à la récolte de ces informations.

Nous vous préconisons d’employer un bon gestionnaire de cookies, dans l’idéal made in Europe, qui vous permettra de collecter vos données localement et de manière sécurisée (Exemple avec Axeptio, un solution made in France utilisé aujourd'hui par des clients comme WelcometotheJungle, ou Ornikar).

Étape 5 : Attention à vos sous-traitants

Être conforme aux normes RGPD est une chose, mais avoir des sous-traitants qui respectent aussi les règles imposées en est une autre. Il est de votre devoir, en tant que responsable du traitement des données de vos utilisateurs, d’être sûr que vos sous-traitants sont eux aussi conformes et respectent plusieurs étapes clés.

-Contrôlez le transfert de données hors de l'Union européenne : 

Le pays d’origine de votre sous-traitant est déterminant. En effet, certains pays n’assurent pas le même niveau de protection imposé par les normes RGPD. 

C’est notamment le cas pour les Etats-Unis qui possèdent différentes règles complètement à l'opposé de ce que propose l'UE en termes de traitement des données. 

-Encadrez vos relations par un contrat : 

Un contrat signé de vos mains et de celle de vos sous-traitants permettra d'assurer vos arrières en cas de problème et de mettre en place une base solide avant de solliciter un nouvel acteur dans votre activité. 

-Vérifiez les mesures de sécurité mises en place par vos sous-traitants : Vous les retrouverez généralement en annexe du contrat avec votre sous-traitant. 

Étudier avec fermeté la politique de sécurité des systèmes d’information et documenter l’effectivité des garanties offertes par le sous-traitant pour solidifier les bases de votre traitement et savoir où seront traitées les données de vos utilisateurs.

Étape 6 : Votre processus d’exercice de droits

La finalité de la réglementation RGPD, c’est principalement de redonner du pouvoir aux utilisateurs sur leurs données personnelles. C’est pour cette raison, qu’il sera important de mettre à l’écrit les différents droits auxquels ont accès les personnes qui visitent votre site : 

-Le droit d’accès : Qui permet aux utilisateurs de savoir où en est le traitement de ses données ;

-Le droit de rectification : Qui offre la possibilité aux utilisateurs de modifier et corriger les données personnelles qui sont stockées sur votre site ;

-Le droit d’opposition : Qui permet à l’utilisateur de faire valoir ses droits afin de s’opposer à l’utilisation de ses données pour un objectif précis ;

-Le droit à l’effacement : Qui permet à l’utilisateur d’effacer ses données ;

-Le droit à la limitation : Qui offre un droit à la portabilité aux différents utilisateurs afin qu’ils puissent récupérer une partie de ses données dans un format lisible pour son usage personnel ;

Étape 7 : Rédigez votre politique de confidentialité

Comme pour les cookies, il sera primordial pour votre site d’informer les utilisateurs, les clients et partenaires de la manière dont leurs données seront traitées et comment votre entreprise assure leurs protections. Tout cela sera possible grâce à un document : La politique de confidentialité de votre site !

Il sera notamment important de préciser dans ce document :

-Les raisons pour lesquelles les données sont collectées ;

-Le détail des traitements ;

-Les modalités pour exercer leurs droits ;

-La liste des sous-traitants, et les détails en lien avec la politique ;

-Etc.

Étape 8 : Toutefois, attention aux risques !

Le but de la réglementation des normes RGPD est de prévenir les risques en mettant en place des protections pour éviter une fuite de données ou la mise en danger des données de vos utilisateurs. Vous devrez donc prévenir les traitements de données potentiellement susceptibles d’engendrer des risques pour vos utilisateurs.

Chaque traitement potentiellement risqué devra être soumis à une étude d’impact sur la vie privée afin de mesurer sa conformité par rapport au RGPD. Cette étude devra être renouvelée régulièrement pour assurer une protection des données sur le long terme.

Étape 9 : Implémentez votre feuille de route Privacy 

Il serait irréaliste de croire que votre entreprise puisse se mettre à niveau en termes de conformité RGPD du jour au lendemain. Nous vous préconisons de mettre en place  plusieurs actions sur la durée, et d’agir selon ces principes : Améliorez, Itérer, Évoluez !

Plusieurs actions peuvent donc être mises en place : 

-Suite à la mise en place de vos objectifs, ne surveiller que les données strictement nécessaires à votre activité.

-Réviser vos mentions légales et adaptez vos règles selon l’évolution des réglementations RGPD pour rester conformes et à jour selon les nouvelles exigences.

-Vérifier vos sous-traitants et faites en sorte de connaître leurs évolutions, leurs exigences et leurs prises de positions par rapport à aux normes RGPD.

-Vérifier les mesures de sécurité mise en place et faites en sorte que les vérifications et le niveau de sécurité reste le même sur la durée !

Etape 10 : Sensibilisez vos équipes

Pour finir, la base d’une entreprise RGPD Friendly est d’avoir une équipe préparée et formée aux différentes réglementations. Une équipe solide vous permettra à vous et à votre entreprise d'être dans les règles sur le long terme et donc de rassurer vos utilisateurs lors de leurs navigations sur votre site. 

De même, cela permettra à votre équipe de mettre en place des projets cohérents, dans le respect des normes RGPD afin de faciliter le travail du DPO ou du PDG lors de son traitement des données !

Quels sont les risques en cas de non-conformité si vous n’êtes pas en conformité avec le RGPD ?

Avec les normes RGPD, les sanctions en cas de violation sont devenues de plus en plus sévères. Elles sont croissantes selon la taille de votre organisation, le nombre de données collectées et l’implication de l’entreprise envers les données des utilisateurs.

Les sanctions administratives peuvent s’élever jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, jusqu’à 4% de son chiffre d’affaires annuel mondial. Les sanctions pénales peuvent s’élever jusqu’à 300 000 euros d’amende selon les infractions.

Pour en savoir plus, nous vous invitons à découvrir la liste des sanctions pénales encourues en cas de non-respect du RGPD.

Vous souhaitez être guidé dans la mise en place des ses infrasctures ? Faites appel à Acteïs pour pour la mise aux normes RGPD de votre entreprise !