Se mettre en conformité avec le RGPD

La CNIL (Commission nationale informatique et libertés) a infligé une amende de 400.000 euros à une société immobilière, Sergic, qui avait laissé accessibles en ligne des informations personnelles de candidats à la location : copies de cartes d’identité, carte Vitale, jugement de divorce… Ce cas n’est pas isolé. Les amendes pleuvent sur les entreprises qui n’ont pas su se mettre en conformité avec le RGPD (Règlement Général de Protection des Données) : 50 millions d’euros à Google, 250.000 euros à Bouygues Telecom, 400.000 euros à Uber, 50.000 euros à Dailymotion et 250.000 euros à Optical Center, et enfin en juin 2019, 400.000 euros à la société Sergic. La Cnil peut infliger des amendes pouvant aller jusqu’à 4% du chiffre d’affaires ou 20 millions d’euros.

Ce que vous devez faire pour vous mettre en conformité avec le RGPD

Voici la liste des tâches à effectuer : – recenser les données collectées par votre entreprise – recenser la façon dont ces données sont collectées et traitées – remplir le Registre de traitement des données personnelles Mais se mettre en conformité avec ce règlement est assez compliqué car les données collectées peuvent concerner : vos clients, vos prospects, mais aussi vos salariés, des candidats à l’embauche ou de simples visiteurs… Même les processus non automatisés, par exemple, le fait d’inscrire le nom d’un visiteur sur une feuille volante doit être examiné. Le système informatique pose aussi de nombreux problèmes car il est souvent éclaté en différents logiciels de gestion. C’est pourquoi le Registre des traitements des données personnelles RGPD pourra vous servir de guide, de manière à ce que rien ne soit oublié.

Au-delà du registre de traitement des données

Remplir le Registre de protection des données est obligatoire, mais ce n’est pas suffisant. Vous devrez assurer cette protection, dans l’organisation quotidienne de votre entreprise, mais aussi dans la sécurisation de votre système informatique, notamment contre les intrusions et autres piratages. Vous devrez également accorder la plus grande attention à vos sous-traitants ou prestataires lorsque ces derniers ont accès à vos données lors de l’exécution d’une mission. Lorsque vous récoltez des données auprès d’une personne, vous devez recueillir son consentement de manière éclairée et lui indiquer explicitement pourquoi vous collectez ses données personnelles, et de quelle manière vous allez les traiter.

Pour quelle raison cette PME a-t-elle été condamnée par la CNIL ?

En fait, son site internet permettait à des tiers d’accéder aux données personnelles laissées par des candidats à la location, sans avoir à donner un identifiant ou un mot de passe. De plus, elle conservait certaines données sans limitation de durée.
Vous pourrez trouver dans le Registre des traitements des données personnelles RGPD toutes les indications qui vous aideront à vous mettre en conformité avec le Règlement Général sur la Protection des Données. Vous pouvez également vous procurer des Registres spécialement adaptés pour les pharmacies ou les collectivités territoriales :

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *