Le 25 mai 2018 que le RGPD est entré en vigueur, mais certaines entreprises ne sont pas encore en conformité avec le RGPD. La seule raison est que celles-ci ne savent pas exactement ce qu’il faut faire pour être conforme avec cette loi.
Mais comment faire? Il faut savoir aussi que chaque entreprise a son mode de fonctionnement donc les actions à mener pour être en conformité dépendent d’une entreprise à une autre.
Désigner un pilote
La procédure pour être conforme avec le RGPD est un projet qui va impacter toute votre entreprise, pour cela il va falloir choisir une personne pour piloter ce projet. Ce projet n’est pas juste un dossier à faire : il faudra le mettre à jour tout au long de la vie de votre entreprise.
Ensuite vous devez analyser tous vos processus pour déterminer ceux qui traitent des données personnelles que votre entreprise a pu recueillir et utilisées. Une donnée personnelle est une donnée qui peut identifier directement ou indirectement une personne : une adresse email, un pseudo de réseau social, une adresse IP, une adresse postale.
Vérifier la base légale pour stocker des données personnelles
Une fois que vous avez déterminé si vous stockez (et généralement c’est le cas) des données personnelles, vous devez vérifier si vous êtes autorisé à avoir ces données personnelles.
Le fait de recevoir, stocker des données personnelles, s’appelle dans le jargon du RGPD “un traitement”. Vous devez donc lister tous les traitements réalisés et bien vous assurer que vous avez le droit, c’est-à-dire que vous avez une base légale qui justifie que vous avez des actions sur des données personnelles.
Le RGPD a listé six bases légales :
- le consentement ;
- le contrat ;
- l’obligation légale ;
- la sauvegarde des intérêts vitaux ;
- l’intérêt public ;
- les intérêts légitimes.
Pour les entreprises du secteur du vin, les bases légales à retenir sont souvent les suivantes :
- le consentement
- le contrat
- l’obligation légale.
Côté obligation légale, l’Etat ou les organismes étatiques vous demande de suivre certaines réglementations qui impliquent que vous recueillez des données personnelles. C’est le cas notamment pour l’embauche de salarié : vous devez recueillir des données personnelles (nom, prénom, date de naissance, numéro de sécurité sociale etc). Pour ce traitement, la base légale est l’obligation légale.
Quand vous signez un contrat avec un client ou un fournisseur, pour sécuriser la relation contractuelle vous avez besoin d’informations : dans ce cas, vous justifiez le recueil de données sur la base légale “contrat”.
Pour le reste des données et en particulier dans le cas de données personnelles que vous recueillez pour des actions marketing et commerciales, vous devez obtenir le consentement des personnes concernées, ce qui constituera la base légale de ce traitement. Attention le consentement doit être clair et explicite sur la finalité de traitement : la personne doit avoir été informée de quelles données personnelles sont stockées, pour quelle finalité, pendant combien de temps.
Si vous n’avez pas de base légale, vous n’avez pas le droit de recueillir et stocker des données personnelles : celles-ci doivent être totalement supprimées.
Pour la suite, voici les questions que vous devez vous poser :
- Mon traitement est-il légal ? Ai-je le droit de faire ce traitement ?
- Pourquoi fais-je ce traitement ? Si vous n’avez pas de réponse, alors vous devez modifier ou supprimer le traitement.
- Toutes les données sont-elles nécessaires ? Si votre objectif est de recontacter vos prospects par mail alors vous n’avez pas besoin des données comme le téléphone.
- Pour combien de temps je garderai ces données ?
- Ai-je informé les personnes du fait que j’ai à ma disposition leur données personnelles ? afin qu’elles puissent être en mesure de demander la modification ou la suppression.
Une fois cette étape finie, il faut analyser les risques possibles liés à vos traitements de données personnelles de vos prospects. En effet, vous avez un devoir de limiter les accès aux données personnelles, aux seules personnes qui sont autorisées. Vous devez aussi vous assurer que vous avez mis en place toutes les mesures de sécurité.
Avoir un plan d’action pour la mise à jour
Après la vérification initiale de conformité, vous devez penser à mettre en place une stratégie sur pied pour la mise à jour régulière de vos traitements. Des exemples :
- Vous n’avez pas le droit de conserver les données personnelles sans limite de durée. Vous devez donc prévoir de supprimer régulièrement des données ou si c’est possible, mettre en place une règle automatique de suppression des données selon la durée que vous avez prévu.
- Avez-vous bien identifié vos sous-traitants, c’est-à-dire les tiers à qui vous donnez accès à vos données personnelles ? Sites, plugins, expert-comptable, avocat. Avez-vous contractualisé la relation avec eux et informé les personnes de ces sous-traitants ?
- Avez-vous bien vérifié la sécurité de votre système d’information ? Par exemple, lorsque vous collectez des données personnelles tel que nom, prénom, contact, etc grâce à votre site internet, il faut veiller à ce que votre site ait le protocole HTTPS.
Cette liste est longue mais non exhaustive. Gardez toujours en tête les 3 principes fondamentaux du RGPD :
- consentement ou autre base légale
- information de la personne
- sécurisation
Donc de bout en bout de votre chaîne d’information, vous devez vérifier que :
- vous êtes autorisé à avoir des données
- vous avez bien informé la personne de la finalité, des sous-traitants, du type de donnée conservées, de la durée
- qui a accès et surtout que les autres ne peuvent pas y accéder.
La mise en place du RGPD, quand on découvre le sujet, est souvent un sujet qui fait peur. Mais en faisant étape par étape, ce n’est pas si compliqué, surtout si vous êtes accompagné. Contactez-nous !
