Youtube Twitter LinkedIn Facebook
© freepik
26 novembre 2019

Décryptage - RGPD mode d'emploi

MécaSphère

Plus d'un an après la mise en application du RGPD (Règlement général sur la protection des données), la phase de sensibilisation est terminée, et la CNIL (Commission nationale informatique et liberté) n'hésite plus à sanctionner très lourdement les entreprises qui ne respectent pas le règlement européen, PME comprises. Voici quelques conseils pratiques pour éviter les déconvenues avec l'organisme de contrôle.

Désigner un DPO
Le DPO (Data protection officer) ou délégué à la protection des données est le référent RGPD de l'entreprise. C'est l'interlocuteur des collaborateurs comme des intervenants extérieurs. Pour les structures les plus petites, il est possible de mutualiser un DPO avec d'autres.

Mettre en place le registre des traitements
Toute entreprise utilise des données personnelles de ses salariés, de ses clients, de ses fournisseurs ou de ses partenaires. Elle doit mettre en place des registres de traitement pour les fichiers qu'elle détient ou qu'elle sous-traite. Ces registres recensent ce que contient le fichier, sa date de création, son objet, son accès, etc. La CNIL a mis en ligne un nouveau modèle de registre simplifié sous forme de tableur.

Sensibiliser les collaborateurs
Nul n'est censé ignorer le RGPD. Il est essentiel que les collaborateurs aient bien conscience des risques engendrés par la nouvelle réglementation et adoptent des bonnes pratiques. Cette phase de sensibilisation donne aux salariés les bons réflexes en cas de défaillance de la sécurité pour réagir vite.

Demander le consentement des personnes concernées
Collaborateurs ou clients, il convient de les informer d'un traitement de leurs données personnelles, voire de demander leur consentement. C'est particulièrement vrai sur les sites Internet.

Être vigilant sur le traitement des demandes
Beaucoup connaissent leurs droits et les exercent. Il est impératif de ne pas négliger leurs demandes et d'y répondre le plus clairement possible. Nombre de contrôles de la CNIL interviennent suite à des plaintes.

Respecter les mesures élémentaires de protection des données
Dans son guide pratique, la CNIL propose quelques mesures simples pour sécuriser :
• les fichiers (gestion des droits d'accès, mots de passe robustes, détection d'intrusion, sauvegarde, etc.) ;
• les smartphones et les tablettes (verrouillage, cryptage, gestion à distance, etc.)
• les ordinateurs fixes ou portables (mots de passe robustes, antivirus à jour, mise à jour du système d'exploitation, etc.).

Travailler en permanence sur le RGPD
Le RGPD vit avec l'entreprise, il faut penser à l'actualiser en permanence.

Vérifier les contrats avec les prestataires
Certains prestataires (expert-comptable, gestionnaire de paie, hébergeur, société de sécurité, etc.) traitent des données personnelles pour le compte de l'entreprise.
Il convient de les informer par écrit (mail ou courrier) de leurs obligations en tant que sous-traitants et de modifier les contrats pour y intégrer ces obligations.

Profiter de l'accompagnement de la FIM
La FIM propose des notes d'informations et des fiches pratiques sur son site Internet.
Pour des questions plus spécifiques ou plus pointues, il est possible de contacter le service juridique.

Plus de détails dans cette note FIM

Retrouvez le magazine MécaSphère d'octobre 2019 dans son intégralité

Contact

Direction Juridique - direction.juridique@fimeca.org

Sur le même sujet...