1 an de RGPD en Europe. Quel est le bilan?

Une année est passée depuis que le Règlement général sur la protection des
données (RGPD) est entré en vigueur partout dans l’UE. Cet ensemble de
règles, qui est aussi souvent désigné par son abréviation RGPD, indique comment les entreprises doivent agir avec les données à caractère personnel. Chaque entreprise est concernée par ce règlement. Songez par exemple aux données dans le fichier du personnel ou aux informations des clients. L’objectif du RGPD est d’assurer une meilleure protection de la vie privée des citoyens. Pour les entreprises, il est plus facile que les mêmes règles s’appliquent à présent dans toute l’UE.

Quelles sont les données à caractère personnel selon le RGPD?

Depuis le 25 mai 2018, toutes les entreprises sont tenues de se conformer à ces nouvelles règles sur la vie privée. Mais que sont les données à caractère personnel?

Le RGPD est clair à cet égard: les données à caractère personnel sont toutes les informations qui se rapportent à une personne physique. Les données à caractère personnel évidentes sont les noms, adresses et données de paiement des clients. Vous pensez peut-être à cet égard que les données à caractère personnel figureront principalement dans l’administration de l’entreprise. C’est naturellement vrai mais de nombreuses données à caractère personnel figurent également en dehors de l’administration.

Il vous arrive d’envoyer une promotion, telle qu’un bulletin d’information avec de nouveaux produits? La liste d’adresses que vous utilisez à cet effet comporte vraisemblablement des données à caractère personnel. De nombreuses personnes utilisent en effet une adresse e-mail sous la forme de prénom.nom@gmail.com et sur cette base, elle envoie aussi à une personne physique. Si vous jetez un regard critique sur votre propre travail,
vous en arriverez probablement à la conclusion que vous traitez – peut-être involontairement – des données à caractère personnel. Il s’agit dès lors d’une bonne idée d’inventorier quelles données à caractère personnel sont traitées dans votre entreprise.

Dans certains cas, vous êtes même tenu de nommer délégué à la protection des données. Il s’agit d’un collaborateur qui a pour tâche de veiller à la bonne application du RGPD. C’est surtout le cas lorsque vous traitez des données à caractère personnel à grande échelle ou traitez des données sensibles, telles que des données à caractère personnel sur la santé, les convictions religieuses, l race ou l’orientation politique.

La vigilance comme base

Lorsque vous travaillez avec des données à caractère personnel, vous devez tenir compte d’un certain nombre de choses. La plus importante est que vous devez traiter les données avec soin. Vous devez pour cela veiller à ce que les données ne soient disponibles que pour les personnes qui doivent
les utiliser sur le plan professionnel.

Pour les données sur papier, vous devez les conserver en lieu sûr et les archiver à nouveau lorsque vous avez fini. Si les données sont numériques, il est important de veiller à ce que les droits d’accès soient bien établis et que seuls les collaborateurs adéquats y aient accès. La protection doit également être en ordre, et ce afin de ne laisser aucune chance aux pirates de voler les données.

Toutefois, le RGPD va au-delà de l’obligation d’agir soigneusement avec les données. Ainsi, chacun a le droit de consulter ses propres données. Lorsqu’un client, par exemple, demande une vue d’ensemble de toutes ses données, vous êtes tenu de les fournir. Chacun a en outre le droit de faire
corriger ou supprimer ses données. Ce droit doit pouvoir être exercé aussi facilement par les intéressés que la fourniture des données dans un premier temps. Si, pourtant, cela ne devait pas fonctionner comme prévu et si des fuites de données à caractère personnel avaient lieu, vous êtes tenu de signaler cette fuite de données. Si vous ne respectez pas les règles, une amende peut vous être infligée, représentant 4% du chiffre d’affaires annuel ou 20 millions d’euros.

Pratique: la déchiqueteuse

Les entreprises modernes ont naturellement stocké la plupart des données à caractère personnel dans un système automatisé. Cependant, il y a régulièrement des informations sur papier. Il suffit de penser à un courriel qui est imprimé: à côté du nom et de l’adresse électronique figurent peutêtre également un numéro de téléphone, une adresse ou un numéro de compte. Cela ne pose pas de problème en soi, si le courriel est soigneusement archivé ou supprimé lorsque vous n’en avez plus besoin.

Une mesure simple est l’achat d’une déchiqueteuse. Placez celle-ci bien en
évidence, de préférence à côté du bac réservé aux vieux papiers. Veillez à ce que les collaborateurs en aient conscience, lorsqu’ils jettent des papiers sur lesquels figurent des données à caractère personnel. Il est préférable que quelques papiers de trop passent par la déchiqueteuse que des données
à caractère personnel se retrouvent dans la corbeille à papier normale, à la vue de tous.

Disque dur avec cryptage

La plupart des entreprises ont un réseau informatique en ordre: un pare-feu protège des attaques externes et les dossiers peuvent toujours être consultés par les collaborateurs disposant d’un compte valide. Il arrive pourtant régulièrement, dans la pratique, que des fichiers soient bien vite placés sur un disque ou une clé USB portable. C’est naturellement très pratique mais soyez toujours conscient du type de fichiers que vous placez sur le disque. S’ils comportent des données à caractère personnel, toutes les règles du RGPD s’appliquent également à cet effet. Veillez donc à ce que ces disques et ces clés ne traînent pas sans surveillance. Si vous souhaitez exclure les risques, demandez à vos collaborateurs de crypter toutes les clés. De la sorte, les fichiers ne peuvent être consultés qu’à l’aide du mot de passe adéquat. Le cryptage des infirmations n’est pas difficile: il existe différents programmes pratiques qui le font pour vous en arrière-plan. Vous pouvez les utiliser en combinaison avec des disques et clés USB standard. Les disques avec cryptage intégré sont plus faciles encore. Ces disques ont un petit tableau avec des touches intégré. Lorsque vous installez le disque, vous devez toujours composer le code PIN avant d’obtenir un accès. Vous n’êtes pas très doué pour retenir les codes PIN? Il existe également une solution à cet effet: une clé ou un disque que vous déverrouillez avec une empreinte digitale.

Mettez vos archives à l’épreuve du RGPD

Vous travaillez encore beaucoup avec des informations sur papierau sein de votre organisation? Dans ce cas, il est important que ces archives soient bien en ordre et, naturellement, que seules les personnes compétentes puissent y avoir accès. Veillez à ce que les papiers soient classés de façon claire dans les dossiers ou les boîtesclasseurs. Si vous recevez une demande d’une personne qui souhaite consulter ses données, vous aurez tôt fait de trouver les informations correctes. Conservez tous ces documents dans une armoire ou un coffre pourvu d’un verrou solide et veillez à ce que seules les
personnes compétentes y aient accès.

Les données à caractère personnel correctes avec eID

Lorsque vous accueillez un nouveau client, il est naturellement important que les données correctes soient enregistrées en une fois. Vous pouvez bien sûr faire remplir un formulaire « à l’ancienne », mais il est plus facile d’utiliser l’identifiant électronique (eID) à cet effet. Avec un lecteur de cartes USB, vous lisez directement toutes les données de la carte d’identité du client. Cela va non seulement beaucoup plus vite que le remplissage d’un formulaire; vous avez en outre la certitude que le nom et l’adresse sont mentionnés correctement, sans faute de frappe dans le système.

Laisser un commentaire