Aller au contenu principal
Informatique

RGPD : tout dépend du volume des données

Au moment de se mettre en conformité avec le RGPD, les entreprises qui collectent peu de données personnelles et possèdent peu de données sensibles doivent surtout faire preuve de bon sens, selon Bpifrance Le Lab. Conseils.

Ne collecter que les données vraiment nécessaire, les protéger et être transparent sont les principes de base du RGPD. © DR

Dans un mois, le 25 mai, entre en application le règlement général sur la protection des données (RGPD). Ce nouveau règlement harmonise les règles en Europe en offrant un même cadre juridique à toutes les entreprises européennes. Il vise aussi à limiter les distorsions de concurrence en imposant ces obligations à toutes les entreprises étrangères proposant des produits ou services aux Européens.

Toutes les entreprises sont donc concernées, mais « si les données personnelles ne sont pas au cœur de votre activité, les moyens à déployer pour vous mettre en conformité au RGPD ne seront pas très importants », rassure Bpifrance Le Lab dans un document dédié aux PME. Tout dépend du volume et de la sensibilité des données traitées.

Une donnée personnelle, c’est une information se rapportant à une personne physique identifiée ou identifiable directement ou non, explique le législateur. Ainsi, un identifiant, un numéro de téléphone, une voix, une image, un numéro de Sécurité sociale sont autant de données personnelles. Des bases qui permettent d’identifier des personnes en croisant des données (âge, sexe, rue…) sont considérées comme un traitement de données personnelles, par exemple, les informations recueillies pour une carte de fidélité, une livraison ou une facture. Le RGPD concerne ces données qu’elles soient sous forme papier ou numérique. Les fichiers ne contenant que des données d’entreprise ne sont pas concernés.

Se mettre en conformité, et le rester

Pour se mettre en conformité, il s’agit de recenser les fichiers concernés. La Commission nationale de l'informatique et des libertés (Cnil) propose sur son site un modèle de registre. Pour chaque activité qui nécessite la collecte de données, Bpifrance recommande de réfléchir à l’objectif poursuivi (par exemple la fidélisation), aux catégories de données utilisées, à qui a accès à ces données et à leur durée de conservation, dorénavant limitée par la loi. Vérifiez ainsi si les données sont utiles, si elles sont correctement protégées et si elles ne sont conservées que le temps nécessaire. Plusieurs outils sont à votre disposition via la Cnil ou les fédérations professionnelles, qui permettent d’avoir l’avis d’entrepreneurs de votre secteur.

Tout n’est pas que contraintes dans cette nouvelle réglementation, selon Bpifrance, qui explique que le RGPD peut être l’occasion de « valoriser votre image d’entreprise sérieuse et responsable » auprès de particuliers mis en confiance. Le RGPD implique aussi une gestion rigoureuse des fichiers de données, qui doivent être à jour, ce qui n’est pas sans augmenter l’efficacité de la prospection commerciale. En se posant les bonnes questions sur les données à collecter, les investissements relatifs à cette recherche sont optimisés. Enfin, ces données doivent être protégées, elles sont sous votre responsabilité. C’est l’occasion de prendre des mesures, physique ou informatique. De la même manière que les accès à vos locaux abritant des coordonnées bancaires doivent être sécurisés, vos systèmes informatiques doivent être protégés des attaques malveillantes, dont les PME sont aussi de plus en plus souvent victimes.

N’oubliez pas les données de vos collaborateurs !

Une entreprise est amenée à recueillir les données personnelles de ses salariés notamment pour la gestion administrative du personnel… Vous disposez ainsi de coordonnées bancaires, de la liste des ayants droit pour les mutuelles, des coordonnées des personnes à prévenir en cas d’urgence… À vous de garantir la sécurité et la confidentialité de ces données. Même sur son lieu de travail, un employé a le droit au respect de sa vie privée et à la protection de ses données personnelles. Pour ce faire, ne collectez que les données dont vous avez vraiment besoin. La surveillance des employés doit être justifiée par les impératifs de l’entreprise et ne doit pas être permanente. Enfin, jouez la transparence, notamment avec les représentants du personnel.


En relation

Réglementation
La filière bio vent debout contre la Commission

La proposition de réforme du label bio présentée par la Commission européenne…

Produits de la mer
Vers l’adoption de quotas pour l'espadon de Méditerranée

Une cinquantaine de pays s'apprêtent à instaurer pour la première fois un quota de pêche pour l'…

Produits de la mer
Cabillaud : les eurodéputés mettent fin aux limites de temps en mer du Nord

Les députés européens ont modifié hier le règlement de 2008 du Conseil qui établissait un plan à…

Produits laitiers
Le « paquet lait » pourrait s’appliquer après 2020

La Commission européenne a publié aujourd’hui le second rapport sur la mise en œuvre du « paquet…