Avisé, s'informer pour réussir

site d'informations stratégiques
du réseau des chambres de métiers et de l'artisanat d'Auvergne-Rhône-Alpes

Vous êtes ici

TPE, les principales actions à mettre en œuvre dans le cadre du RGPD

Toutes les entreprises sont concernées par le RGPD (Règlement Général sur la Protection des Données), les TPE également si elles collectent, stockent ou utilisent des données à caractère personnel.

Une donnée personnelle, c’est une information qui permet d’identifier une personne physique (nom, prénom, mais également N° client, numéro de téléphone, adresse de livraison ou de facturation…). Pour votre activité, vous traitez certainement des informations concernant vos clients et/ou vos fournisseurs et vos salariés, vous êtes donc concernés.

 

Voici les principales actions à mettre en œuvre :

 

1. Recensez vos fichiers

Vous devez tenir un registre listant le type de donnée et le traitement effectué. Dans votre registre, créez une fiche pour chaque activité recensée, en précisant :

• l’objectif poursuivi (la finalité - exemple : la fidélisation client) ;

les catégories de données utilisées (exemple pour la paie : nom, prénom, date de naissance, salaire, etc.) ;

• qui a accès aux données (le destinataire - exemple : service chargé du recrutement, service informatique, direction, prestataires, partenaires, hébergeurs) ;

• la durée de conservation de ces données (durée durant laquelle les données sont utiles d’un point de vue opérationnel, et durée de conservation en archive).

Le registre est placé sous la responsabilité du dirigeant de l’entreprise.

Vous n’avez pas en revanche à mentionner au registre les traitements purement occasionnels (exemple : fichier constitué pour une opération événementielle ponctuelle comme l’inauguration d’une boutique).

 

En constituant votre registre, vous aurez une vision d’ensemble sur vos traitements de données.

 

2. Faites le tri dans vos données

Vous ne devez collecter que ce qui est nécessaire à votre activité.

Un traitement de données doit avoir un objectif, une finalité, c’est-à-dire que vous ne pouvez pas collecter ou traiter des données personnelles  simplement au cas où cela vous serait utile un jour. À chaque traitement de données doit être assigné un but, qui doit être légal et légitime au regard de votre activité professionnelle.

 

3. Respectez le droit des personnes

Informez les personnes : à chaque fois que vous collectez des données personnelles, le support utilisé (formulaire, questionnaire, etc.) doit comporter des mentions d’information. Exemples de mentions d'information

Permettez aux personnes d’exercer facilement leurs droits : les personnes dont vous traitez les données (clients, collaborateurs, prestataires, etc.) ont des droits sur leurs données, qui sont d’ailleurs renforcés par le RGPD : droit d’accès, de rectification, d’opposition, d’effacement, à la portabilité et à la limitation du traitement.

 

4. Sécurisez vos données

Vous devez garantir la sécurité des données que vous possédez en minimisant le risque de perte de données ou de piratage. (mise à jour de vos antivirus et logiciels, changement régulier des mots de passe et utilisation de mots de passe complexes, ou chiffrement de vos données dans certaines situations…)

Si votre entreprise a subi une violation de données (des données personnelles ont été, de manière accidentelle ou illicite, détruites, perdues, altérées, divulguées ou vous avez constaté un accès non autorisé à des données) ? Vous devez la signaler à la CNIL dans les 72 heures si cette violation est susceptible de représenter un risque pour les droits et libertés des personnes concernées. Cette notification s’effectue en ligne sur le site internet de la CNIL. Si ces risques sont élevés pour ces personnes, vous devrez les en informer.

Si besoin (sinistre, attaque informatique…), le gouvernement met à disposition le site https://www.cybermalveillance.gouv.fr pour assister les victimes d’actes de cybermalveillance.

Lire aussi : "Cybermalveillance : dispositif gratuit pour l'assistance et la prévention du risque numérique"

Pour aller plus loin

Voici le guide de la CNIL dédié aux TPE-PME : https://www.cnil.fr/sites/default/files/atoms/files/bpi-cnil-guide-rgpd-tpe-pme.pdf

guide RGPD TPE-PME

 

Lire aussi : "Règlement Général sur la Protection des Données : les artisans aussi concernés" | "RGPD : comment vont se dérouler les contrôles ?"

 

L'équipe Avisé

 

Source : CNIL

 

Crédit visuel : Pixabay