En tant que chef d’entreprise, votre activité vous amène à collecter et à traiter des données personnelles que ce soit dans la gestion client/fournisseur ou sociale de vos salariés. Vous devez donc vous conformer à la réglementation sur la protection des données. Les obligations en la matière ont été renforcées, à compter du 25 mai 2018, avec l’entrée en application du Règlement général sur la protection des données, appelé RGPD.
Quand est-ce que vous traitez de la donnée personnelle ?
Des données personnelles vous en utilisez au quotidien pour établir un devis, envoyer une facture ou encore communiquer avec vos clients. Il s’agit de toute donnée permettant d’identifier une personne physique directement ou indirectement :
- nom, prénom,
- adresse mail,
- carte de paiement,
- numéro de téléphone,
- identifiant (numéro client par exemple),
- numéro de sécurité sociale,
- adresse IP,
- photo d’un visage,
- vidéo montrant une personne,
Le traitement des données consiste à toute action effectuée sur des données à caractère personnel de personnes physiques. Voici quelques exemples fréquents dans votre activité :
- formulaire en ligne pour une commande, une inscription,
- enregistrement d’une base de données, d’un fichier clients ou fournisseurs par exemple,
- collecte des centres de préférences et des comportements des utilisateurs via les cookies de votre site web,
- gestion des paiements ou des crédits client/fournisseur,
- gestion sociale de vos salariés (contrats, gestion de la paie, assurances),
- système de vidéosurveillance sur le site de votre entreprise,
- …
Certaines données sont qualifiées « sensibles » et requièrent des mesures supplémentaires. Ce type de données inclut celles qui :
- exposent l’origine raciale ou ethnique d’une personne
- relèvent des convictions politiques, religieuses ou philosophiques, ou de l’appartenance à un syndicat,
- se rapportent à la santé ou à l’orientation sexuelle,
- sont de nature génétique ou biométrique.
Les infractions et les condamnations pénales ne constituent pas des « données sensibles » juridiquement. Cependant elles requièrent une vigilance particulière au même titre que le numéro de sécurité sociale.
Comment se mettre en conformité avec le RGPD ?
Pour commencer sa mise en conformité, la Commission Nationale de l’Informatique et des Libertés (CNIL) recommande 4 actions principales à mener :
1. Recensez vos traitements de données dans un registre des activités de traitement
Les entreprises de moins de 250 salariés sont tenues de répertorier dans ce registre les traitements suivants :
- les traitements non occasionnels tels que la gestion de la paie, les fichiers clients, les fichiers fournisseurs…
- les traitements susceptibles de comporter un risque pour les droits et libertés des personnes : vidéosurveillance, systèmes de géolocalisation…
- les traitements qui portent sur des données sensibles.
2. Réalisez le tri dans vos données pour vérifier que les données traitées sont bien nécessaires à votre activité et que vous ne collectez pas de données sensibles.
3. Respectez les droits des personnes que vous sollicitez
Elles doivent en effet savoir comment vous allez exploiter leurs données, donner leur consentement au traitement et être en mesure d’exercer facilement leurs droits. À chaque fois que vous collectez des données personnelles, le support utilisé (formulaire, questionnaire, etc.) doit ainsi comporter certaines informations. La Cnil propose sur son site des modèles de mentions.
4. Sécurisez vos données
Mettez régulièrement à jour vos logiciels et antivirus et changez régulièrement de mots de passe. Vous êtes tenu d’assurer la sécurité des données personnelles que vous détenez.
Quelle sanction en cas de non-respect du RGPD ?
Les sanctions varient en fonction de la gravité des violations détectées par la Cnil :
- avertissement,
- sanction financière,
- injonction de cesser le traitement,
- publication de la décision de sanction entrainant une perte de confiance des clients et partenaires.
Comments are closed.