Catégories Entreprise, Transformation numérique

RGPD : 12 questions pour mieux comprendre les données personnelles de votre entreprise


Le 25 mai 2018, un nouveau règlement européen sur la protection de la vie privée appelé le Règlement Général sur la Protection des Données (RGPD) entrera en vigueur.

Les entreprises qui ne se conforment pas à ce nouveau règlement pourraient s’exposer à des amendes s’élevant jusqu’à 20 millions d’euros soit 4 % de leurs recettes annuelles, le montant le plus élevé étant retenu.

Dans le cadre de cette mise en conformité au RGPD, il est important de cartographier d’où proviennent l’ensemble des données personnelles de votre entreprise, de déterminer où et comment ces informations sont stockées et de renseigner ce que vous en faites.

Les données personnelles comprennent par exemple les adresses IP, les situations géographiques, le genre, les revenus, les centres d’intérêts et les sites web visités.

Liste de vérification relative aux données personnelles

Utilisez cette liste de questions pour vous aider à analyser les données personnelles que vous avez stockées dans vos systèmes.

Vous pouvez collecter ces données sur une feuille Excel, mais il existe de nombreuses autres façons de procéder.

Nous vous conseillons de répondre aux 12 questions suivantes pour chaque type de données personnelles que vous collectez.

1. Quel est le type de données personnelles que vous êtes en train de collecter ?

Faites une description des types de données personnelles à collecter, par exemple, nom, adresse, e-mail, numéro de téléphone. Pensez à enrichir les informations personnelles avec la date de naissance, le numéro d’identification personnelle et toute autre donnée supplémentaire qui permet d’identifier un individu.

2. À quelle fin collectez-vous les données personnelles ?

Expliquez pourquoi vous collectez ces informations. Par exemple, si vous demandez à un individu de fournir sa date de naissance, vous devez être capable d’en expliquer les raisons et ce que vous comptez en faire.

3. Quel est le cadre légal ?

Expliquez le cadre juridique de l’entreprise pour collecter les informations. Consultez l’Article 1A-F alinéa 6 de la directive du RGPD pour plus de précisions.

4. Quelle est la source des données personnelles ?

Renseignez la manière dont vous obtenez les données personnelles. Précisez si vous les avez obtenues à travers des formulaires en ligne, via des cartes de visite recueillies dans des contextes différents ou via d’autres systèmes.

5. Comment les classer ?

La classification des données personnelles peut être confidentielle, anonyme, sensible, etc. Par exemple, les données sensibles pourraient être le salaire ou des informations sur les primes. Veuillez noter que toutes les données personnelles qui sont sensibles et confidentielles devront bénéficier de mesures de sécurité supplémentaires.

6. Pendant combien de temps les données personnelles sont-elles stockées ?

Notez pendant combien de temps vous conserverez toutes les données personnelles. La période de stockage des données personnelles à envisager peut dépendre de la finalité de leur utilisation et du cadre légal. Par exemple, les informations relatives au salaire peuvent être conservées aussi longtemps que la loi sur la comptabilité et l’archivage l’impose.

7. Qui peut accéder aux données personnelles ?

Mettez par écrit qui a accès aux données personnelles. Par exemple, le personnel de paie a accès au système de paye, les gestionnaires RH ont accès aux informations RH, et les commerciaux aux informations client.

8. Les données personnelles peuvent-elles être transférées dans d’autres pays ?

Les données personnelles doivent de préférence rester dans l’UE. Dans le cas contraire, précisez que les données personnelles sont en cours de transfert et à quelle fin.

9. Dans quel système les informations sont-elles stockées ?

Vous aurez très probablement un système séparé pour la paye et pour les informations client. Vous devrez noter par écrit le nom du système utilisé pour les données personnelles. Vous devrez également préciser si le système que vous utilisez est un système basé sur le cloud.

10. Avez-vous obtenu un consentement explicite avant d’utiliser les données ?

Précisez si la personne vous a transmis volontairement ses données personnelles à des fins de communications commerciales. Le consentement explicite est particulièrement important lorsque vous stockez et traitez des données personnelles sur des individus avec lesquels vous n’entretenez pas de relation client active.

11. Est-ce que ces données personnelles sont partagées avec des tiers et pour quelle(s) raison(s) ?

Indiquez le type d’informations et les tiers bénéficiaires concernés dans le cas où les informations sont divulguées.

Si vous utilisez des données personnelles à des fins commerciales, votre déclaration de confidentialité ainsi que les documents contractuels qui vous lient à vos clients devront indiquer si les données ont été collectées puis partagées avec des tiers ou non.

12. Comment les informations sont-elles protégées ?

Décrivez les mesures de sécurité permettant de protéger les données personnelles. Ceci est d’autant plus important si vous stockez des informations sensibles en tant que contrôleur ou responsable de la sécurité des données.

Étapes suivantes

Une fois terminée, la liste de vérification vous aidera à déterminer quelles données vous souhaitez conserver. Il est recommandé de conserver les informations strictement nécessaires et d’éliminer celles que vous n’utilisez pas.

Si votre entreprise collecte beaucoup de données sans but ou besoin précis, elle ne pourra plus le faire dans le cadre du RGPD.

Cartographier les données de votre entreprise et déterminer les données à conserver sont les premières démarches de mise en conformité au RGPD.

Vous devrez mettre en place des mesures de sécurité afin de sauvegarder vos données, élaborer des procédures systématiques pour accéder, supprimer et archiver les données personnelles.