Qu’est-ce que le Règlement Général sur la Protection des Données personnelles (RGPD) ?
La communication responsable évoque aussi un travail sur l’aspect éthique de votre communication, comme par exemple la protection des données personnelles que vous recoltez dans le cadre de votre activité.
Depuis 2018, un règlement général concernant la protection des données personnelles a été adopté sous forme de loi par le parlement Européen et doit être appliqué par l’ensemble des 27 pays membres de l’Union Européenne.
Dans cet épisode de Cogiter, Céline Sigismondi, co-fondatrice de Cōam, a invité Inès Chérifi, ancienne juriste en droit des affaires dans l’univers de l’industrie et aujourd’hui spécialiste RGPD pour les indépendants et PME, à nous expliquer à quoi sert le RGPD et comment le mettre en place facilement et rapidement en tant que société.
Qu’est-ce que le RGPD ?
RGPD : Règlement Général sur la Protection des Données
C’est un outil qui permet de guider les entreprises/associations/collectivités sur la protection des données personnelles qu’ils récoltent.
Une donnée personnelle est une information qui identifie un humain directement (son nom, son prénom, sa date de naissance), ou indirectement (son adresse, son numéro de téléphone, son adresse ip, son adresse mail, son numéro de sécurité sociale, son numéro d’identifiant aux impôts ou à l’URSSAF…). Les organismes collectent des informations en permanence. Cela peut-être celles d’un nouveau client lors d’un achat, d’un utilisateur lors d’une visite sur leur site internet (les fameux cookies), mais aussi en interne, d’un salarié lors d’une embauche.
Le RGPD c’est beaucoup de bon sens et un peu de technique.
Pour comprendre la gestion et le traitement des données à caractère personnel que l’on récupère, Il faut arriver à prendre du recul et se poser les bonnes questions :
- Quels types données je récupère ?
- À quoi me servent ces données ?
- Combien de temps je les conserve ?
- Qui a accès à ces données ?
- …
C’est ni plus ni moins un gros questionnaire.
L’objectif est de rendre accessible l’information uniquement à la personne qui a besoin d’y accéder et rendre exploitable l’information uniquement par la personne qui a besoin de l’exploiter.
Exemple : Quand un salarié donne des informations au service RH, seules les personnes qui ont besoin de ces données doivent pouvoir y accéder. Jean-Edouard de la logistique n’a pas à avoir accès à l’adresse postale de son collègue, ni à savoir qu’il a donné un arrêt de travail avant hier.
Bien sûr, le RGPD reste réglementaire parce que c’est du droit mais fondamentalement c’est avant tout un outil, une méthode à votre service.
Comment gérer les données personnelles en tant qu’entreprise ? Quelles sont les démarches à mettre en place ?
La première étape, c’est de prendre conscience qu’on est responsable des données personnelles que l’on collecte ainsi que de la mise en conformité RGPD de celles-ci.
“Ne fais pas aux autres ce que tu n’aimerais pas que l’on te fasse”
Le RGPD c’est le miroir de ce principe.
La deuxième étape c’est, se dédramatiser, se déculpabiliser, accepter que ça va prendre du temps et que ça va se faire petit à petit, étape par étape selon la méthodologie SCRUM. C’est une méthode informatique qui consiste à diviser un gros objectif en plusieurs petites étapes intermédiaires.
La troisième chose étape c’est de démarrer. Commencer à se mettre en action, si vous pouvez vous entourer d’un conseiller pour pouvoir vous guider sur le bon chemin c’est le top. Mettre en place les fondations pour challenger tout votre processus de traitement des données personnelles de vos prospects/clients ou candidats/salariés.
Vous pouvez commencer par :
- Demander les informations nécessaires au bon moment. Par exemple dans le cadre d’un recrutement le numéro de sécurité sociale d’un candidat n’est pas utile avant son embauche.
- Mettre en place une politique d’utilisation et de conservation des données personnelles collectées en fonction du caractère de celle-ci.
- Paramétrer les outils que vous avez déjà, et ne pas forcement tout recommencer du début. Par exemple, dans le cadre d’un site internet, Google Analystic est un outil qui ne respecte pas la loi fixée par l’Union Européenne, vous pouvez cependant le paramétrer.
Qui est concerné par le RGPD ? Est-ce que c’est la réglementation est la même pour une petite structure que pour une grande ?
Tout organisme quel que soit sa taille, son pays d’implantation et son activité, est concerné.
Le RGPD s’applique à toute organisation, publique ou privée, qui traite des données personnelles, dès lors :
- qu’elle est installée sur le territoire de l’Union européenne,
- ou que son activité cible directement des résidents européens.
La réglementation est la même pour tous les organismes, cependant ça va être plus facile de créer des fondations solides pour une petite structure que pour une plus grande.
Récupérer 100 000 données personnelles ou une, la valeur et donc la confidentialité de celle-ci est toute aussi importante.
Dans une grande entreprise le défi va être d’arriver à harmoniser les process dans les différents services. Faire en sorte d’avoir une politique commune avec évidement des spécificités pour chaque service.
Quels sont les risques si vous n’êtes pas en conformité avec les données personnelles que l’on vous confit ?
La réponse juridique, c’est une sanction de la CNIL (Commission Nationale de l’Informatique et des Libertés) allant de 2 à 4% du chiffre d’affaires de la société.
La réponse plus humaine, c’est de perdre la confiance que vous avez créé avec les humains autour de votre activité (collaborateurs, partenaires commerciaux, clients…).
3 conseils à appliquer pour protéger vos données personnelles :
- Utiliser des outils créer ainsi qu’héberger en France et labélliser ANSSI (Agence Nationale de la Sécrutié des Systèmes d’Information. Retrouvez la liste des produits logiciels et matériels ayant reçu une qualification ANSSI juste ici : https://www.ssi.gouv.fr/uploads/liste-produits-et-services-qualifies.pdf
- Avoir des mots de passe en fonction de différentes bulles pour limiter les conséquences d’une fuite. Par exemple, avoir un code pour les réseaux sociaux, un pour l’administratif, un pour les outils de travail… Cette astuce permet de ne pas avoir 8000 mots de passe différents et en cas de fuite de savoir quelle bulle est touchée.
- Chercher des informations sur des sites qui ont un intérêt à vous donner une bonne information : l’état, le gouvernement, les blogs d’avocats ou de juristes. Toujours regarder la date et prendre l’information la plus récente.
Il faut dédramatiser le sujet, se rendre compte que c’est beaucoup de bon sens. C’est simplement un gros questionnaire (encadré par une loi) pour vérifier la méthode de traitement des données et l’utilisation qu’on en fait. Pas de panique c’est accessible à tous.
Pour en savoir plus :
CGV : https://www.economie.gouv.fr/dgccrf/Publications/Vie-pratique/Fiches-pratiques/Conditions-generales-de-vente
CGU : https://www.francenum.gouv.fr/comprendre-le-numerique/rediger-des-conditions-generales-dutilisation-cgu-pour-son-site-internet
Mentions légales site internet : https://www.service-public.fr/professionnels-entreprises/vosdroits/F31228
Modèle à adapter et personnaliser de contrat de prestation de service : https://www.bpifrance.fr/sites/default/files/2021-09/Bpifrance – 2021 – AO Accueil physique et telephonique – Contrat.pdf
Les coordonnées de l’invitée :
Pour plus de conseils sur le RPDG vous pouvez retrouver Inès :
- Sur Instagram : https://www.instagram.com/madamergpd/
- Sur son site internet : https://www.madamergpd.com/
✒️ Cet article a été écrit par Cynthia, d’après les propos d’Inès.
Nos autres pôles d’expertises
Site web
Adoptez un site internet éco-conçu totalement sur-mesure et optimisé selon vos besoins pour développer la présence digitale de votre entreprise.
Vitrine ou e-commerce, création ou refonte, web design sur-mesure, stratégie digitale
Formation
Formez-vous à la communication responsable, intégrez les enjeux du développement durable et construisez une stratégie plus responsable.
Entreprise ou école, seul ou équipe, web et print, visio ou présentiel