Le RGPD, règlement général sur la protection des données, encadre la circulation et le traitement des données à caractère personnel des personnes physiques au sein de l’Union européenne. Les entreprises sont dans l’obligation de s’y conformer depuis le mois de Mai 2018.
Tandem Office vous donne 5 pistes pour être RGPD compliant au bureau.
Le Cloud
Vous utilisez un service cloud (stockage de données, SAAS) ? Renseignez-vous sur votre hébergeur !
Les entreprises sont dans l’obligation de connaitre la localisation géographique des data centers et de se renseigner sur les techniques de sauvegarde des fournisseurs de cloud.
Pour être conforme aux recommandations RGPD, les données personnelles doivent être hébergées chez un fournisseurs de Cloud européen certifié ou souverain. Le Cloud souverain est un hébergeur dont l’ensemble des traitements effectués sont physiquement réalisés dans les limites du territoire national par une entité de droit français et en application des lois et normes françaises.
Attention au cloud computing qui, bien qu’il s’agisse d’une fonctionnalité très pratique, n’est pas toujours effectué dans le respect des normes RGPD.
Exemple : Vous installez la version gratuite de Dropbox en local sur votre ordinateur pour plus de praticité. Dès lors, si votre ordinateur est piraté et que vos données sont endommagées voire détruites, Dropbox (dont les data center sont installés aux Etats-Unis) ne vous fournira aucune sauvegarde. En effet, les sauvegardes sont uniquement destinées aux détenteurs de version payante. Vos données seront donc perdues de façon définitive sans aucun recours conformément à leurs propres réglementations.
Les archives papiers
Le Règlement général sur la protection des données vous oblige à protéger les données personnelles que vous détenez sur les individus. Les données informatiques évidemment, mais également les données papier.
Le RGPD impose une limitation dans la conservation de ces données, stipule la nature des documents à conserver et préconise les modes de destruction pour assurer la confidentialité de toutes les données sensibles.
Ainsi, dès lors que la raison pour laquelle vous conservez des données personnelles n’a plus lieu d’être, que la période de conservation légale est terminée ou que le délai de prescription est arrivé à son terme, vous avez obligation de détruire de manière définitive.
La CNIL impose d’ailleurs la tenue d’un registre avec la nature des données personnelles conservées.
Les logiciels et outils d’entreprises
Gare à la sécurité !
La quasi-totalité des logiciels et outils SAAS contiennent des données personnelles dont vous devez assurer la protection.
Aussi, il convient de privilégier les éditeurs de logiciels et de SAAS Européens qui sont également tenus de se conformer au RGPD.
Tout comme le cloud, assurez-vous du lieu d’hébergement des données et des techniques de sauvegarde.Si vous optez pour un éditeur américain, gardez à l’esprit que la notion de protection des données personnelles est absente hors Europe.
Attention, sachez que les entreprises ont pour obligation de signaler à une autorité compétente et aux personnes concernées tout piratage de données à caractère personnel dans un délai de 72 heures au maximum.
Les sites vitrines
Vous pensez que les sites vitrines ne récoltent pas de données personnelles ? Vous avez faux !
Il suffit que le site soit relié à Google Analytics ou d’autres outils de mesures d’audience pour que des adresses IP soient collectées. Or, l’adresse IP constitue une donnée personnelle.
On parle alors de cookies de mesure d’audience mais il existe également les cookies de partage (pour les blogs par exemple), les cookies publicitaires, etc.
C’est pour ces raisons, entre autres, que vous êtes dans l’obligation, site vitrine ou marchand, d’informer vos utilisateurs que votre site utilise des cookies pour vous conformer aux réglementations européenne RGPD. L’utilisateur doit être notifié et doit pouvoir donner son consentement ou exprimer son refus à l’utilisation des cookies dès qu’il arrive sur votre site.
Il en est de même pour les mentions légales qui doivent obligatoirement figurer sur votre site. Dans le cas contraire, vous vous exposez à une sanction pouvant aller jusqu’à 75000€ d’amende. Ça fait cher les mentions légales…
Les emailing
Un seul mot : consentement.
Le fait qu’un prospect vous ai contacté par le biais d’un formulaire de contact n’est pas son consentement à figurer dans une liste de diffusion. De même, le fait de disposer d’une liste de prospects achetée sur internet ne peux constituer une liste de diffusion si vous n’avez pas le consentement des individus. L’adresse email étant une donnée personnelle bien entendu.
Dans tous les cas vous devez expressément informer l’utilisateur à quelles fins seront utilisées ses données et avoir son consentement. Vous pouvez donc opter pour un formulaire à case en sollicitant son accord pour recevoir des newsletters, des articles, de la publicité…
Si toutefois vous avez omis de solliciter le consentement, l’utilisateur doit pouvoir se désinscrire à tout moment de votre liste de diffusion.