Comprendre le RGPD

Le temps de l’inventaire

En tout premier lieu, vous devez rassembler tous les supports sur lesquels sont présentes des données personnelles.
Faites-en un inventaire complet : carnets, fichiers dans les postes de travail, logiciels de comptabilité et de gestion de votre personnel, réseaux sociaux et supports de communication numérique.

Pour ce qui concerne votre site internet, listez tous les formulaires de collecte de données : vos formulaires de contact, d’abonnement à votre infolettre, votre outil de blog s’il permet aux internautes de laisser un commentaire ou un avis, etc…

Une donnée personnelle est une information qui permet d’identifier une personne physique.

Le modèle de registre de traitement de la CNIL est un excellent outil pour effectuer cet inventaire.

Le principe est simple : vous lister dans un premier temps les activités de votre entreprise qui nécessitent la collecte et le traitement de données personnelles : gestion des payes, gestion des clients, des prospects et de vos fournisseurs, statistiques de ventes ou de visites sur votre site internet, gestion des accès à vos locaux, etc…

Créez une fiche par activité et complétez les sections proposées par la CNIL :

• l’objectif poursuivi (la finalité – exemple : la fidélisation client) ;
• les catégories de données utilisées (exemple pour la paie : nom, prénom, date de naissance, salaire, etc.) ;
• qui a accès aux données (le destinataire – exemple : service chargé du recrutement, service informatique, direction, prestataires, partenaires, hébergeurs) ;
• la durée de conservation de ces données (durée durant laquelle les données sont utiles d’un point de vue opérationnel, et durée
de conservation en archive).

Le registre est placé sous la responsabilité du dirigeant de l’entreprise.
Pour avoir un registre exhaustif et à jour, il faut en discuter et être en contact avec toutes les personnes de l’entreprise susceptibles de traiter des données personnelles.
Vous n’avez pas en revanche à mentionner au registre les traitements purement occasionnels (exemple : fichier constitué pour une opération événementielle ponctuelle comme l’inauguration d’une boutique).
En constituant votre registre, vous aurez une vision d’ensemble sur vos traitements de données.

CE QUE DIT LA LOI :

Les traitements informatiques de données personnelles qui présentent des risques particuliers d’atteinte aux droits et aux libertés doivent, avant leur mise en œuvre, être soumis à l’autorisation de la CNIL.
Le non-accomplissement des formalités auprès de la CNIL est sanctionné de 5 ans d’emprisonnement et 300 000€ d’amende. art. 226-16 du code pénal

Voici quelques exemples de données personnelles :

  • Les données qui concernent l’identité des personnes :
    • leur civilité, nom, prénoms, adresse, numéro de téléphone (fixe et/ou mobile), numéro de télécopie, adresses email, date de naissance,
    • un « code interne de traitement permettant l’identification du client (ce code interne de traitement ne peut être le numéro d’inscription au répertoire national d’identification des personnes physiques (numéro de sécurité sociale), ni le numéro de carte bancaire, ni le numéro d’un titre d’identité). Une copie d’un titre d’identité peut être conservée aux fins de preuve de l’exercice d’un droit d’accès, de rectification ou d’opposition ou pour répondre à une obligation légale ».
  • les données liées aux moyens de paiement,
  • les données liées à une transaction : date d’achat, n° de commande, détail des produits commandés ou du service souscrit,
  • les données qui concerne la situation familiale, économique et financière d’une personne : vie maritale, nombre d’enfants, catégorie professionnelle ou sociale, niveau de revenus, etc…
  • les données liées au suivi client : messages échangés, suivis de S.A.V, historique des commandes, etc…
  • les données liées aux règlements des factures : par exemple, sommes réglées, impayés, remises effectuées…
  • les données utilisées pour réaliser des actions de fidélisation, de prospection, de sondage, de test produit et de promotion,
  • les données liées à l’organisation et au traitement des jeux concours, de loteries, de sondages : réponses, date de la participation, gains…
  • les avis sur des produits et services, y compris les pseudonymes des personnes.
« Retour vers 'Comprendre le RGPD'

Pin It on Pinterest