Vous êtes une entreprise qui collecte et stocke des données personnelles ? Vous devez donc être à jour vis-à-vis des exigences du règlement général sur la protection des données (RGPD).
Cette mise en conformité ne se fait pas du jour au lendemain. Il s’agit d’un processus qui s’établit dans le temps et qui nécessite des réajustements constants.
Si votre entreprise a besoin de se mettre en conformité avec le RGPD, découvrez ici quelques étapes pour régulariser la situation de cette dernière.
La cartographie des traitements
La cartographie des traitements est le baromètre par lequel vous pouvez mesurer le niveau de conformité de votre organisme au RGPD. Elle consiste à recenser toutes les données personnelles collectées et stockées par un organisme. C’est en effet le début du processus de mise en conformité au RGPD.
Elle permet d’avoir une vision globale des traitements de données personnelles effectués par l’organisme. Par conséquent, elle favorise l’accessibilité des collaborateurs aux différentes données personnelles.
La cartographie des traitements reprend toutes les informations contenues dans le registre des traitements. Elles portent sur :
- La finalité du traitement ;
- Les catégories de données ;
- Les personnes propriétaires des données ;
- Les mesures de sécurité appliquées au traitement…
La non-réalisation de la cartographie des traitements peut vous exposer à toutes les sanctions RGPD.
L’identification de la finalité des traitements
Aucun organisme ayant une base de données personnelles ne peut déroger à cette obligation. Elle consiste à trouver une réponse à l’interrogation suivante : « Pourquoi l’entreprise collecte et stocke les données personnelles de ses clients ? »
La réponse à cette question va varier en fonction de la nature de l’activité commerciale que mène l’entreprise. Si vous fournissez par exemple des services de téléphonie mobile, vous aurez besoin des informations personnelles de vos clients pour leur vendre une SIM. À cette occasion, ces derniers devront renseigner un formulaire physique ou virtuel.
Dans ce cadre, les entreprises n’ont pas le droit de demander des informations superflues qui n’ont rien à voir avec le service qu’elles fournissent. Ce comportement est illégal et pourrait entraîner l’application de sanctions. Celles-ci peuvent prendre la forme d’un avertissement, de sanctions pécuniaires, de sanctions pénales ou d’injonction de cessation de traitement.
La communication aux clients et collaborateurs
Aucun traitement de données ne doit se faire à l’insu de la personne concernée. En effet, cette dernière fournit ces informations personnelles en tout état de connaissance. De même, elle pourra accéder à ses données en cas de besoins.
Cette dernière exigence est plus accrue dans le cadre d’une relation de travail. Un salarié pourra donc obtenir de son employeur des informations relatives à son contrat, sa fiche de paie, ses évaluations…
La conservation de données sur une durée raisonnable
Selon le RGPD, les données personnelles ne peuvent être conservées indéfiniment. Chaque entreprise doit limiter dans le temps la durée de conservation des données personnelles qu’elle détient. Pour ce faire, elle peut faire un choix entre l’archivage :
- Courant ;
- Intermédiaire ;
- Définitif.
L’archivage courant est nécessaire pour la finalité du traitement. Sa durée est déterminée de commun accord entre le responsable de traitement et la personne concernée. L’archivage intermédiaire quant à lui évoque l’hypothèse d’une conservation plus longue que prévu par les termes du contrat. Le cas le plus courant est celui dans lequel la durée fixée par une loi est largement supérieure à celle retenue dans un contrat.
En ce qui concerne l’archivage définitif, il porte sur des données d’intérêt public comme les données historiques, scientifiques, statistiques, démographiques… Pour avoir des détails précis concernant les délais, référez-vous aux Codes du travail, de la santé publique, de la consommation ou aux délibérations de la CNIL.
Le choix de la base de données
Cette étape doit avoir une assise légale. Il s’agit du titre juridique qui est la raison vous permettant de traiter des données personnelles.
LE RGPD dresse une liste limitative des bases légales qui peuvent justifier la collecte et le stockage des données d’une personne. Vous devez donc identifier la base légale qui vous autorise à mener vos activités. Il peut s’agir d’une seule ou de nombreuses bases.
Si le contrat entre votre entreprise et le client arrive à terme, la base juridique disparaît avec ce dernier. Il en est de même de vos données personnelles.
L’accord de volonté RGPD
Il est impératif de recueillir le consentement d’une personne dans le cadre d’un traitement de données à caractère personnel. En effet, l’assertion selon laquelle « qui ne dit rien consent. » n’est pas admise ici. Le consentement doit donc être libre, spécifique, éclairé et univoque.
La volonté doit être expressément manifestée à travers des cases à cocher, une signature manuscrite… Et le responsable de traitement doit conserver l’acte de consentement afin d’en faire la preuve à n’importe quel moment.
- Guide pratique pour s’implanter à Dubaï : Les étapes essentielles pour lancer son activité en 2024 - 1 novembre 2024 à 0h56
- Les 4 étapes essentielles pour intégrer des leaders stratégiques dans votre entreprise - 25 octobre 2024 à 14h00
- Explorez l’univers des deux-roues : Innovations, tendances et conseils pratiques pour les motards - 25 octobre 2024 à 13h50