Logiciel de gestion de la protection des données

La Commission Nationale de l’Informatique et des Libertés (CNIL) accompagne les professionnels dans leur mise en conformité et aide les particuliers à maîtriser leurs données personnelles et exercer leurs droits.

La CNIL a différentes missions :

• Informer, protéger les droits
• Accompagner la conformité / conseiller
• Anticiper et innover
• Contrôler et sanctionner

Vous devez mettre en place une organisation adaptée à la taille de votre entreprise et à la sensibilité des données personnelles traitées.

Cela comporte notamment :

• Mettre en place une gouvernance et désigner un Délégué à la Protection des données personnelles (DPO).
• Tenir une documentation permettant de démontrer la conformité au RGPD.
• Protéger les données par la mise en œuvre de mesures techniques et organisationnelles.
• Prendre en compte les enjeux liés à la protection des données dès la phase de conception du produit ou du service (Privacy by design /Privacy by default).
• Notifier les violations de données auprès de la CNIL, voire auprès de la personne concernée par la violation de ces données.

• Atteinte à l’image et à la réputation de votre entreprise
• Amende administrative en cas d’action de la CNIL ou d’une autorité administrative. Le risque d’une sanction financière peut aller jusqu’à 4% de votre chiffre d’affaires annuel global, ou 20 millions d’euros
• Sanctions pénales avec des amendes allant jusqu’à 300 000 € et peine d’emprisonnement jusqu’à 5 ans
• Frais de notification de la violation des données personnelles à la CNIL, voire aux personnes concernées
• Responsabilité civile de l’entreprise en cas de dommages causés du fait de la violation des données personnelles

Le RGPD apporte de nombreux avantages :

• Un véritable gage de confiance avec la mise en avant du sérieux de l’entreprise.
• Une meilleure gestion des données collectées grâce au recensement des données en leur possession ainsi qu’un tri
• Amélioration de la sécurité des données grâce aux workflows respectant les bonnes pratiques de sécurité, diminuant sensiblement le risque de failles de sécurité et de pertes de données
• Amélioration du ROI marketing. En mettant en place une règle de consentement et en supprimant les fichiers obsolètes, vous pourrez bénéficier d’une base de données qualifiée de prospects et clients.

Les 4 actions principales à mener sont :

1. Constituer un registre de vos traitements de données
   Ce document permet de recenser tous vos fichiers et d’avoir une vision d’ensemble en identifiant les activités principales de votre entreprise qui nécessitent la collecte et le traitement de données. Exemples : recrutement, gestion de la paye, formation, gestion des badges et des accès, statistiques de ventes, gestion des clients prospects, etc.
2. Faire le tri des données. Cette étape permet de s’interroger sur les données dont votre entreprise a réellement besoin.
3. Respecter les droits des personnes
   Le RGPD renforce l’obligation d’information et de transparence à l’égard des personnes dont vous traitez les données (clients, collaborateurs, etc.).
4. Sécuriser vos données afin de prendre les mesures nécessaires pour garantir au mieux la sécurité des données.
   Les mesures à prendre dépendent de la sensibilité des données que vous traitez et des risques liés en cas d’incidents.

L’AIPD est un outil permettant à la fois de construire des traitements de données respectueux de la vie privée, mais aussi de démontrer leur conformité au RGPD.

L’AIPD se décompose en trois parties :

• Une description détaillée du traitement comprenant les aspects techniques et opérationnels
• L’évaluation de la nécessité et de la proportionnalité concernant les principes et droits fondamentaux (finalité, données et durées de conservation, information et droits des personnes, etc.)
• L’étude des risques sur la sécurité des données (confidentialité, intégrité et disponibilité) ainsi que leurs impacts potentiels sur la vie privée, qui permet de déterminer les mesures techniques et organisationnelles nécessaires pour protéger les données

Le budget consacré à la mise en conformité au RGPD et aux autres règles en matière de protection des données varie en fonction de plusieurs paramètres : la taille de l’entreprise, le secteur d’activité, la sensibilité des données mais également les démarches nécessaires pour assurer la mise aux normes. C’est la raison pour laquelle il est difficile d’évaluer le coût moyen.
Un logiciel de gestion de la protection de données permettra une meilleure gestion des données, que ce soit au niveau de la collecte, de l’analyse, du stockage ou du traitement. Il existe à la fois des logiciels gratuits et des logiciels payants.

Un logiciel de protection des données automatise le respect de la réglementation relative à la protection des données, car il permet une gestion rapide et complète de tous les processus.

Vous avez la possibilité de :

• Gérer facilement le registre des traitements, la cartographie des données présentes dans votre entreprise grâce aux nombreuses fonctionnalités de notre logiciel
• Générer des documents conformes de façon instantanée
• Gagner du temps dans la gestion de votre politique de confidentialité
• Faire des économies de coûts

Dans un premier temps votre organisation doit vérifier qu’elle a le droit de collecter les données de la personne concernée (consentement des personnes, contrat, obligation légale…) puis s’assurer qu’elle ne collecte que les données strictement nécessaires.

Par la suite il conviendra de vérifier comment les personnes concernées sont informées du traitement de leurs données personnelles (site internet, contrats…). Les sous-traitants doivent également respecter leurs obligations.

Il faudra par la suite mettre en place les différentes mesures de sécurité nécessaires.

Il est recommandé de:

• Vérifier le système informatique : sécurité, archivage des données, type de données collectées, manière dont les données sont collectées et stockées…
• Vérifier les contrats : contrats avec les clients et les fournisseurs, contrats de travail, contrats avec les prestataires informatiques, …
• Envisager de souscrire une assurance « cyber » en fonction des risques liés aux données traitées et à l’activité

De très nombreuses données personnelles relatives aux employés sont nécessaires pour la gestion de leur carrière au sein de votre organisation. Par exemple pour la rémunération, le registre unique du personnel… Le RGPD prévoit un droit des personnes concernées par des traitements de leurs données personnelles à la suppression desdites données. Ce droit implique notamment de fixer, pour les différents types de traitement effectués au sein d´une entreprise/d´un organisme, des durées de conservation des données à l´issue desquelles celles-ci sont supprimées.

Voici quelques exemples :

• Dossiers de candidature : 2 ans après le dernier contact avec la personne (si la personne n´a pas donné son consentement à une conservation pour une durée plus longue)
• Registre unique du personnel : 5 ans à partir de la date du départ du salarié
• Logs de connexion des employés :6 mois maximum
• Comptabilisation des horaires des salariés : 5 ans maximum
• Bulletins de salaire : 5 ans en version papier / 50 ans en version électronique

Le RGPD définit les informations protégées comme des “données personnelles”. Une donnée personnelle est toute information se rapportant à une personne physique identifiée ou identifiable, y compris

• Nom, prénom
• Identifiants (ex. n° client)
• Données de localisation
• Identifiant de connexion informatique
• Un ou plusieurs facteurs spécifiques à l’identité physique, physiologique, génétique, mentale, économique, culturelle ou sociale

Une autorité de contrôle ou la CNIL peut imposer une amende allant jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel, ainsi qu’émettre des avertissements ou des réprimandes.

Vous avez d’autres questions sur la RGPD ? Nos experts peuvent répondre à vos questions ceci en fonction de vos besoins. Contactez-nous dès à présent