Se préparer à l’évolution de la législation sur la protection des données

Le Règlement Général sur la Protection des Données (RGPD) est, en théorie, opérationnel depuis le 25 mai 2018. Il est issu d’une harmonisation européenne.

Dans ce cadre, les entreprises doivent tenir un registre, sous forme électronique ou papier, dans lequel doivent figurer tous les traitements de données personnelles (collecte, diffusion…) effectués. Ce document comprend aussi les catégories de données personnelles traitées (nom, adresse, téléphone…), les objectifs poursuivis (gestion de la relation commerciale, gestion RH), les acteurs qui traitent ces données, les flux en indiquant l’origine et la destination des données.

Les personnes concernées par ces données sont par exemple des clients, des salariés, des prestataires de l’entreprise.

Ce registre doit être tenu à la disposition de la CNIL (Commission nationale de l’informatique et des libertés). Il vous permet de prouver à tout moment votre conformité au RGPD.

Vous pouvez trouver un modèle de registre sur le site de la CNIL.

Il vous faudra ensuite vous assurer que seules les données strictement nécessaires à la poursuite de vos objectifs sont collectées et traitées et que les personnes concernées ont donné leur accord pour conserver et utiliser leurs données personnelles. Vous pouvez avoir à modifier les mentions d’information dans vos CGV et sur votre site Internet pour intégrer cet aspect. Il faut également prévoir les modalités d'exercice des droits des personnes concernées (droits d’accès, de rectification, d’effacement, de portabilité et de limitation de traitement).

Vous devez enfin indiquer les mesures de sécurité mises en œuvre pour minimiser les risques d’accès non autorisés aux données (sécurisation des fichiers sensibles par des mots de passe, des ordinateurs par un antivirus à jour, procédure de sauvegarde et de récupération des données en cas d’incident…).

Pour plus de renseignements, contactez votre CNATP.