Voici 4 mesures que votre entreprise doit prendre avant l'entrée en vigueur du RGPD

Colmatez les brèches, le régulateur veille. REUTERS/Saumya Khandelwal

A partir du 25 mai, les entreprises de l'Union européenne recueillant des données personnelles doivent respecter, quelle que soit leur taille, le Règlement général sur la protection des données. Avec ce texte, plus question de garder des informations à caractère privé sans l'accord des intéressés, sous peine de sanctions financières pouvant aller jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires annuel. Voici les quatre actions à mener pour se mettre en conformité.

1. Réaliser un état des lieux

C'est une obligation incontournable du texte : vous devez procéder à un inventaire complet des données collectées par votre entreprise. Il faut lister le type d'informations réunies, les moyens utilisés (formulaire informatique ou papier, logiciels, etc.), leur finalité et leur durée de conservation. “Cette analyse se fait à travers des entretiens avec les responsables des services et l'envoi de questionnaires détaillés”, précise Jean de Laforcade, associé de Grant Thornton.

Au premier rang des entités concernées figurent les RH et leurs données sur le personnel. Mais les services commerciaux et le marketing sont aussi en ligne de mire : les outils de gestion de la relation client (CRM) rassemblent souvent des informations sur les habitudes des consommateurs et des clients. “Le commercial d'une société peut ainsi avoir noté des détails personnels sur ses prospects : le nom de leur épouse, la date de naissance de leurs enfants, etc. Des renseignements facilitant la relation, mais dont il faut désormais justifier la collecte.” En cas de contrôle de la Commission nationale de l'informatique et des libertés (Cnil), l'entreprise devra fournir un registre complet de ces éléments. Ce document numérique doit être tenu à jour et reste l'un des points clés de la réglementation.

>> A lire aussi - RGPD : ce que ce texte va changer pour vos données personnelles

2. Repérer les infos sensibles

Les informations collectées n'ont pas toutes le même statut juridique. Les numéros de Sécurité sociale ou de carte bancaire ne sont pas des données sensibles. Mais l'origine raciale ou ethnique, les opinions politiques et religieuses, l'appartenance syndicale, les données de santé ou relatives à l'orientation sexuelle le sont. Ces données “doivent être anonymisées et avoir fait l'objet d'un consentement exprès de la part des personnes concernées”, rappelle Alain Bensoussan, avocat spécialisé en sécurité numérique.

L'anonymisation consiste à stocker sur des fichiers séparés l'identité de la personne et les renseignements la concernant. De même, il faut veiller à ce que le médecin du travail, quand il est salarié de l'entreprise, ne transmette pas aux RH les informations relatives au personnel. “La sécurité des données de santé n'est pas optimale, prévient Xavier Leclerc, PDG de DPMS (logiciels de gestion des données). Elles sont rarement cryptées et souvent enregistrées sur un poste informatique connecté au réseau de l'entreprise ! Or elles doivent être conservées sur un serveur à part.”

3. Se plier au droit des personnes

Beaucoup de services collectent des données qui, si elles ne sont pas sensibles, restent inappropriées. “Il est fréquent, reprend Alain Bensoussan, de voir les directions financières tenir un listing des mauvais clients ou les DRH conserver des observations déplacées sur leurs salariés, telles que “dépressif”, “psychopathe” ou “proche des syndicats”. Elles doivent dis paraître.”

En outre, chaque service est tenu d'obtenir le consentement de son personnel comme de ses clients sur les données qu'il détient. Cela implique la présence dans les contrats ou formulaires d'une clause sur l'utilisation des données privées et sur le droit d'accès de chacun à son fichier numérique. Responsable RGPD de Grenoble Ecole de management, Guillaume Pourquié a ainsi adapté les formulaires d'inscription Web et papier de l'école. “J'ai vérifié que le consentement des internautes était demandé, notamment pour l'envoi de notre newsletter.” Les cases précochées et les liens de désinscription non actifs sont censés disparaître.

>> A lire aussi - Scandale Facebook : comment empêcher les applications d’accéder à vos données

4. Revoir les contrats

Les entreprises donneuses d'ordres sont de surcroît soumises à une autre obligation : s'assurer du respect du RGPD par leurs sous-traitants. “Elles doivent vérifier que ces derniers l'appliquent eux aussi, sous peine d'être considérées comme responsables en cas de souci”, souligne David Luponis, associé au cabinet d'audit Mazars. Elles peuvent, à cette fin, exercer des audits chez leurs partenaires.

De même, les contrats qui les lient avec des fournisseurs et des prestataires doivent contenir une clause sur le traitement des données personnelles. Pour savoir comment rédiger ces paragraphes, il faut bien déterminer le statut de ses partenaires. “Une agence de marketing gérant les opérations d'e-mailing d'une société en utilisant la base de données clients de cette dernière est un sous-traitant. En revanche, une société informatique assurant l'hébergement de son site Web est un prestataire”», précise Jean de Laforcade, de Grant Thornton.

Ainsi, le sous-traitant devra justifier la façon dont il utilise les données et garantir leur finalité, leur confidentialité et la durée de leur conservation. Attention aussi à la relation de subordination. “Il y a coresponsabilité entre une société mère et sa filiale ou entre un franchiseur et ses franchisés”, indique l'avocat Alain Bensoussan. Vous voilà avec toutes les données en main, à vous de jouer !

>> A lire aussi - Santé : et si vos données privées se retrouvaient sur Internet ?

Faut-il nommer un délégué à la protection des données ?

Nouvelle fonction prévue par le texte, ce responsable est le véritable pilote de la RGPD. Appelé aussi data privacy officer (DPO), il effectue l'état des lieux, établit le registre pour la Cnil et veille au respect du cadre légal. Si elle n'est pas obligatoire, sa nomination est vivement conseillée ! Toutefois, une PME gérant un volume de données restreint peut externaliser la fonction auprès d'un cabinet spécialisé. Ce responsable ne peut pas être le DRH ou le responsable informatique de l'entreprise. Il doit être rattaché à la direction générale. Dans une TPE, cela peut être le DG lui-même.

Vous avez apprécié cet article ? Likez Business Insider France sur Facebook !

Lire aussi : Voici comment télécharger tout ce qu'Apple sait de vous

VIDEO: 5 villes qui ont remplacé leur autoroute urbaine par un parc