HQ Blog CK2 B3 Checklist Header

Le 25 mai 2018 : le nouveau cadre européen du RGPD deviendra réalité. Qu'est-ce qui va changer pour vous en tant que PME, et comment pouvez-vous vous assurer que vous êtes en parfaite conformité avec les nouvelles exigences ?

Cette check-list rapide va vous aider.

Clause de non-responsabilité : il est essentiel de souligner que Teamleader ne garantit pas qu'une entreprise qui mettrait en œuvre les mesures listées ci-dessous agirait de façon 100 % conforme en matière de protection de la vie privée. Teamleader offre seulement des astuces et des conseils sur le RGPD. En conséquence, ce contenu est uniquement fourni à titre informatif, et ne devrait pas être considéré comme un conseil juridique, ou utilisé pour déterminer comment le RGPD est susceptible de s'appliquer à vous et à votre organisation.

Comment les PME devraient se préparer au RGPD

1. Connaissez vos donnéesRGPD check-list - conaissez vos données

Pour respecter le nouveau cadre légal, vous aurez d'abord besoin de comprendre les différents types de données à caractère personnel (par ex. : noms, adresses) et sensibles (par ex. : informations médicales) que vous détenez actuellement :

  • D'où viennent ces informations ?
  • Comment les avez-vous acquises ?
  • Comment comptez-vous utiliser ces données ?

Organisez des audits internes de vos flux de données pour recenser ce qui est en place et ce qui doit encore être adapté du fait du nouveau règlement. Assurez-vous d'effectuer une analyse juridique de tous vos documents légaux, et mettez-les à jour en conséquence.

Si vous avez partagé des données à caractère personnel inexactes ou obsolètes avec une autre organisation, vous devrez informer ladite autre organisation de leur inexactitude, de façon à ce qu'elle puisse corriger ses propres dossiers. C'est l'une des principales raisons pour lesquelles il est important de recenser les données à caractère personnel que vous détenez.

{{cta('f73394ae-7cc0-4cdc-a0ab-ebe4a1e31258')}}


2. Demandez un consentement explicite pour recueillir des données

Conformément au nouveau RGPD, le consentement au recueil de données doit être donné librement, et doit aussi être spécifique, éclairé et univoque. Le consentement ne peut pas provenir d'un silence, de cases pré-cochées ou d'une absence d'activité. Cela signifie aussi que vous aurez besoin de vérifier votre façon actuelle de demander l'autorisation de recueillir des données. En d'autres termes : reconsidérez vos méthodes existantes pour vous assurer de satisfaire aux normes du nouveau RGPD.

Le RGPD accorde des droits spécifiques aux individus pour qu'ils puissent retirer leur consentement. Vous avez besoin d'informer les gens de ce droit, et de leur offrir des moyens simples de retirer leur consentement à tout moment.

Le consentement sera aussi un élément important pour les e-mails que vous envoyez. Pour envoyer des e-mails commerciaux (par ex. : une offre promotionnelle, une réduction) à des gens qui ne sont pas encore vos clients, vous aurez besoin d'ajouter des boutons spécifiques de consentement pour qu'ils confirment leur abonnement. Si les gens n'ont pas donné leur consentement de manière explicite, vous ne serez pas autorisé à leur envoyer des e-mails commerciaux. Pour les e-mails non commerciaux (par ex. : vœux pour les fêtes) ou les e-mails aux clients, vous devrez seulement prévoir une possibilité de retrait (c'est-à-dire de désabonnement à ces e-mails).

3. Communiquez comment et pourquoi vous recueillez des données

Vous aurez besoin de communiquer à vos clients :

  • comment vous recueillez des données ;
  • pourquoi vous traitez leurs données ;
  • combien de temps vous avez l'intention de stocker ces données (vous ne pouvez pas conserver des données plus longtemps que ce qui est strictement nécessaire).

Vous devriez documenter ces aspects dans votre déclaration de protection de la vie privée. Cette déclaration de protection de la vie privée doit au moins faire référence au RGPD, et contenir des informations sur :

  • quelles données à caractère personnel sont recueillies ;
  • comment sont-elles recueillies ;
  • quelle est la finalité de leur traitement ;
  • le délai de conservation des données ;
  • les droits de la personne concernée ;
  • votre procédure de réclamation ;
  • votre processus de transfert de données à des tiers.

4. Formez vos collaborateurs

RGPD check-list - formez vos collaborateurs

Organisez des séances d'information internes pour aider vos collègues à prendre conscience de l'impact du RGPD sur votre activité. Votre programme de sensibilisation devrait être un processus continu, avec des rappels réguliers tout au long de l'année, et devrait aussi être documenté à l'intention des nouvelles recrues qui rejoindront l'entreprise plus tard.

N'oubliez pas de mettre à jour les documents et les procédures qui sont à usage interne, comme :

  • Les politiques concernant les ordinateurs portables, les réseaux sociaux et Internet
  • Les contrats de travail
  • Les règles Ressources humaines

5. Fournissez la preuve de votre conformité

Le cadre du RGPD exige que vous apportiez la preuve que vous respectez la législation :

  • Mettez en évidence le fondement légal de votre activité de traitement
  • Documentez vos procédures
  • Mettez à jour votre déclaration de protection de la vie privée

Vous devriez aussi modifier vos Conditions Générales de Ventes et/ou les accords conclus avec vos clients. Enfin, pensez à conclure un Contrat de Traitement de Données avec vos sous-traitants et, si besoin, avec vos sous-traitants ultérieurs.

Remarque : un sous-traitant de données est une personne (autre qu'un employé du responsable du traitement des données) ou une entreprise qui traite les données pour le compte du responsable du traitement des données. Les prestataires de paie et de comptabilité, ou encore les entreprises d'études de marché, en sont des exemples. Les fournisseurs de cloud sont généralement aussi des sous-traitants de données.

6. Mettez en place un système pour assurer la suppression des données à caractère personnel

À partir de mai, il vous faudra avoir un système en place pour assurer la suppression des données à caractère personnel lorsque le délai légal de conservation des données expire, ou que les personnes concernées vous le demandent. Les gens ont le droit de retirer leur consentement à n'importe quel moment : le droit à l'effacement (ou « droit à l'oubli ») est un principe clé du RGPD.

Plus spécifiquement, vous aurez besoin de supprimer les données si :

  • Les données à caractère personnel ne sont plus nécessaires aux fins pour lesquelles elles ont été initialement recueillies
  • La personne concernée retire son consentement au traitement (et il n'y a pas de justification ou d'intérêt légitime à poursuivre le traitement)
  • Des données à caractère personnel ont été traitées de manière illégale

7. Créez un plan de gestion de crise

Chaque entreprise doit prévoir un plan de gestion des violations de données. Lorsqu'une violation de données se produit, vous aurez 72 heures pour faire un rapport à l'autorité de protection des données compétente dans votre pays et, dans certains cas, vous devrez informer les individus concernés. Ce délai pourrait être encore plus strict dans certains pays. Cela signifie que vous n'aurez pas le temps de réfléchir aux mesures à prendre une fois qu'une violation se sera réellement produite - alors y réfléchir à l'avance est essentiel pour éviter les sanctions prévues par la loi.

Pour vous préparer au nouveau cadre, vous devriez mettre en place des procédures de détection, de signalement et d'enquête sur les incidents de ce type. Assurez-vous que les personnes avec lesquelles vous travaillez comprennent ce que sont les violations de données à caractère personnel, et que des processus sont bien en place pour détecter immédiatement les signaux d'alerte.

8. Vérifiez vos procédures d'accès

RGPD check-list - conaissez vos données - verifier procédures d'accès

Vos serveurs et les données à caractère personnel que vous détenez devraient être inaccessibles à toute personne qui n'a pas les autorisations nécessaires. Par ailleurs, les personnes concernées ont le droit d'accéder à toutes leurs données à caractère personnel, de rectifier les inexactitudes, de s'opposer au traitement dans certaines circonstances ou d'effacer leurs données, et tout cela dans un délai de 30 jours au lieu de 45 jours.

Si vous traitez un grand nombre de demandes d'accès, réfléchissez à mettre en place des moyens de traiter ces demandes plus rapidement, et les effets que cela pourrait avoir sur votre charge de travail. Vous pourriez vérifier s'il serait possible de développer un système pour que les individus aient accès à leurs informations en ligne. C'est aussi ce que recommandent les instances officielles du RGPD dans la plupart des pays.

9. La protection des données de mineurs

Le 25 mai 2018 va également introduire une protection spéciale pour les données à caractère personnel des enfants. Le RGPD précise que les enfants de moins de 16 ans ne peuvent pas donner de consentement licite, car ils « pourraient être moins conscients des risques, des conséquences et des garanties » d'un partage de leurs données. Si votre entreprise offre des services en ligne pour les enfants et s'appuie sur le consentement pour recueillir des informations les concernant, vous aurez maintenant besoin du consentement d'un parent ou d'un tuteur légal pour pouvoir traiter leurs données à caractère personnel de manière licite.

Remarque : les pays de l'UE sont autorisés à réduire cette limite d'âge jusqu'à l'âge de 13 ans. La Belgique et la France, par exemple, vont appliquer 13 ans comme limite d'âge.

10. Vérifiez si vous avez besoin d'un délégué à la protection des données (DPD)

Il vous faudra peut-être nommer un délégué interne à la protection des données pour superviser votre stratégie et votre programme de conformité. Ceci n'est pas obligatoire pour la majorité des PME, en revanche le groupe de travail "Article 29" recommande à toutes les entreprises de nommer quelqu'un à titre de bonne pratique.

Vous n'aurez pas à embaucher un employé à temps plein en tant que tel - un DPD pourrait aussi être un consultant externe, ou un collaborateur qui remplit ce rôle supplémentaire en plus de ses responsabilités quotidiennes. Mais assurez-vous que la personne possède les connaissances, le soutien et l'autorité pour pouvoir réellement exercer son rôle de DPD.

{{cta('d3e3abc6-7fa4-4e9e-beb4-1c7308370e25')}}