Le RGPD est une opportunité pour les PME qui peuvent ainsi profiter de cette première étape pour sécuriser et protéger l’ensemble de leurs données, et dans une deuxième étape accélérer leur transformation digitale.
Depuis le 25 Mai 2018, le RGPD fait courir des risques financiers importants pour toutes les entreprises qui traitent de la donnée personnelle (sanction administratives, enquêtes, obligations de notification). Beaucoup de PME de taille modestes, qui ne travaillent qu’en BTB, pensent ne pas être concernées par le RGPD ….
Que dit le RGPD ?
La réponse est sans équivoque ; Toutes les entreprises quelle que soient leur taille sont concernées par le Règlement Européen sur la Protection des données (RGPD) :
- Si elles collectent, stockent, utilisent des données à caractère personnel. Dans ce cas, les entreprises sont "responsables de traitements".
- Si elles traitent des données à caractère personnel pour le compte d'autres entreprises. Dans ce cas, les entreprises sont "sous-traitantes".
PME & RGPD : les 4 actions à mettre en place
1/Veillez à respecter votre obligation d’information et de transparence
Collecter et traiter des données personnelles implique avant tout d’informer les personnes sur ce que vous faites de leurs données et de respecter leurs droits.
-
RGPD & Devoir d’Information
Vous devez obtenir le consentement auprès des personnes qui vous confient leurs données. Vous devez démontrer et informer ce que vous comptez faire de ces informations (transparence).
Lorsque vous collectez des données, le formulaire utilisé doit comporter notamment les mentions d’information listées ci-dessous.
Principales informations :
- Pourquoi vous collectez les données ?
- Ce qui vous autorise à traiter ces données ?
- Qui a accès aux données ?
- Indiquez des catégories : les services internes compétents, un prestataire, etc.
- Combien de temps vous conservez ces données ?
- Les modalités selon lesquelles les personnes concernées peuvent exercer leurs droits
Ces informations peuvent figurer sur un document annexe consultable en ligne (politique de confidentialité, page vie privée sur votre site).
-
Respecter le droit des personnes
Vous devez mettre en place une organisation au sein de votre entreprise afin de donner les moyens aux personnes d’exercer leur droit sur leurs données (droit d’accès, de rectification, d’opposition, d’effacement, droit à la portabilité et à la limitation du traitement).
La mise en œuvre de ce droit nécessite de prévoir un formulaire de contact spécifique, un numéro de téléphone ou une adresse de messagerie dédiée.
Il est important de définir un processus interne permettant de garantissant l’identification et le traitement des demandes dans des délais courts (1 mois au maximum).
2/GDPR & PME : une des actions prioritaire est la tenue d'un registre des activités
Le registre des activités de traitement permet de recenser vos traitements de données et de disposer d’une vue d’ensemble de ce que vous faites avec les données personnelles. Utilisez les modèles de registre proposés par la CNIL (https://www.cnil.fr/fr/RGDP-le-registre-des-activites-de-traitement).
Dans votre registre, créez une fiche pour chaque activité recensée, en précisant :
- l’objectif poursuivi (la finalité - exemple : la gestion de la paye) ;
- les catégories de données utilisées (exemple pour la paie : nom, prénom, date de naissance, salaire, etc.) ;
- qui a accès aux données (le destinataire - exemple : service chargé du recrutement, service informatique, direction, prestataires, partenaires, hébergeurs) ;
- la durée de conservation de ces données (durée durant laquelle les données sont utiles d’un point de vue opérationnel, et durée de conservation en archive).
Le registre est placé sous la responsabilité du dirigeant de l’entreprise. La constitution de ce registre, permet d’avoir une vision d’ensemble sur vos traitements de données.
3/ RGPD & Data minimization : triez vos données
Vous devez vérifier :
- que les données que vous traitez sont nécessaires à vos activités
- que vous ne traitez aucune donnée dite « sensible » ou, si c’est le cas, que vous avez bien le droit de les traiter
- que seules les personnes habilitées ont accès aux données dont elles ont besoin ;
- que vous ne conservez pas vos données au-delà de ce qui est nécessaire.
Minimisez la collecte de données, en éliminant de vos formulaires de collecte et vos bases de données toutes les informations inutiles.
Redéfinissez qui doit pouvoir accéder à quelles données dans votre entreprise, pour quel traitement.
Mettez en place des règles automatiques d’effacement ou d’archivage au bout d’une certaine durée dans vos applications.
4/ Sécurisez les données personnelles que vous détenez
-
Sécuriser
Dans l’intérêt économique de votre entreprise mais également si vous ne souhaitez pas être en risque vis-à-vis de la CNIL, garante de la mise en conformité de RGPD au sein des entreprises, vous devez sécuriser les données personnelles que vous détenez par tout moyen physique et informatique que vous jugerez adéquat. Préserver la sécurité des données signifie empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.
Différentes actions doivent être mises en place au sein de votre entreprise :
- mises à jour de vos antivirus et logiciels,
- changement régulier des mots de passe
- utilisation de mots de passe complexes
- chiffrement de vos données dans certaines situations
-
Atteinte à la sécurité de vos données
Vous devez mettre en place au sein de votre entreprise des outils qui vous permettent de surveiller les attaques subies par votre système d’information. Vous disposez d’un délai de 72 heures pour signaler à la CNIL les violations de données personnelles, si cette violation est susceptible de représenter un risque pour les droits et libertés des personnes concernées. Cette notification s’effectue en ligne sur le site internet de la CNIL.
La violation des données personnelles peut avoir été générée de manière accidentelle ou illicite ; les données peuvent avoir été détruites, perdues, altérées, divulguées. Dans certains cas, vous avez simplement constaté un accès non autorisé à des données.
Vous aurez pour obligation d’enquêter afin de comprendre l’origine de la violation de données, la nature des données concernées.
-
Obligation de notification
Si ces risques sont élevés pour ces personnes, vous devrez les en informer. Cette démarche peut s’avérer couteuse pour votre entreprise, avec un coût moyen estimé à 7 € / contact (identification et recherche, coût de notification, mise en place d’une cellule de traitement des appels)
Conclusion
Toutes les entreprises sont concernées par le RGPD qui constitue une opportunité pour les entreprises et en particulier les PME.
Le RGPD introduit cependant de nouveaux risques financiers qui ne sont pas assurés à ce jour. Avec le développement de la cyber criminalité, vos données sont menacées … Vous vous demandez quelles seraient les conséquences financières d’une cyberattaque au sein de votre entreprise ? Y survivra-t-elle ?
La cyber assurance RGPD proposée par CYBER COVER est une protection essentielle pour votre entreprise. Assistance informatique, frais de notification, sanctions administratives dans le cadre de RGPD, frais d’enquête sont garantis par nos formules d’assurance Cyber. Devis Assurance Immédiat en ligne dès aujourd'hui !
