Actu

Atelier RGPD : par où les TPE doivent-elles commencer ? (1/2)

À l’heure où la CNIL hausse le ton, un an après la mise en application du RGPD, les TPE/PME refroidies jusqu’ici par l’ampleur de la tâche sont invitées à se lancer tambour battant. Comment défricher le terrain ? Que faire concrètement ? Que faire en cas de contrôle de la CNIL ?

Atelier RGPD : par où les TPE doivent-elles commencer ? (1/2)
Le registre de traitement, pièce maîtresse de la mise en conformité au RGPD, est le document sur lequel sont recensées toutes les DCP stockées par l’entreprise. © Adobe Stock

RGPD, DPO, DCP, « accountability »… Au cœur du tintamarre qui bruite sur la toile, difficile d’y voir clair. Mais avant de céder aux chants des prestataires, voici comment seul, il est possible de mettre les voiles. Lors d’un atelier consacré au règlement général sur la protection des données (RGPD) spécial TPE/PME organisé par les « digiteurs » de la CCI Paris-IdF le 4 juin dernier, Jessy Pollux, consultante en protection des données, a présenté à son auditoire un vade-mecum précieux. Au programme : 1 lexique, 5 principes, 3 actions.

Atelier RGPD : 1 lexique en guise de post-it

Même si le RGPD n’est pas une création ex nihilo, un vocable original a vu le jour. Tout d’abord, au centre du RGPD, les DCP : Données à Caractère Personnel. Il s’agit de toutes les informations qui peuvent permettre d’identifier une personne physique (nom, plaque d’immatriculation, carte de visite, démarches particulières, coiffures excentriques, vêtements atypiques, faits et gestes reconnaissables entre mille, etc.). Toutes ces données numériques ou papiers devront être protégées, traitées. Pour rappel, le RGPD concerne toutes les activités (B2C et B2B).

Pour ce faire, 2 éléments principaux à connaître : le responsable de traitement et le registre. Le responsable de traitement détermine le pourquoi et le comment du traitement des DCP (enregistrement, classification ou transmission des données). En cas de problème, c’est lui qui répond à la CNIL, l’autorité de contrôle en la matière. Dans les TPE/PME, le responsable de traitement est le gérant. À côté de lui se trouvent les collaborateurs qui doivent être sensibilisés et la personne référente. Cette dernière peut être désignée par le chef d’entreprise pour s’occuper de la mise en conformité de l’entreprise (vivement conseillé). Cette fonction est obligatoire pour certaines entreprises (celles fortement concernées par les DCP), il s’agit du DPO (data protection officer ou délégué à la protection des données). Le DPO conseille le gérant, il est un point de contact privilégié en la matière et contrôle les collaborateurs. À retenir, le DPO ou la personne référente ne sont pas responsables devant l’autorité de contrôle en cas de manquement.

Enfin, le registre de traitement, pièce maîtresse de la mise en conformité au RGPD, est le document sur lequel sont recensées toutes les DCP stockées par l’entreprise. Sont rappelés ici le pourquoi, le comment de leurs traitements, par qui et pour combien de temps. Jessy Pollux invite fortement les TPE/PME à utiliser le modèle numérique fourni par la CNIL. Ces justifications à transcrire dans le registre se fondent sur les 5 principes du RGPD.

Netpme Premium Abonnement
Passez à l’action :

Netpme Premium Abonnement

Atelier RGPD : les 5 principes à suivre

« La conformité est un bien grand mot », rassure d’emblée Jessy Pollux. Il est impossible en effet d’être en tout point conforme. Le travail à effectuer est lourd, il s’inscrit dans le temps long. L’idée est de faire au mieux avec les moyens du bord, tout en étant de bonne foi. Pour cela, il convient de garder à l’esprit les 5 grands principes du RGPD : finalité, pertinence, transparence, durée de conservation et sécurité.

Chaque traitement de DCP doit correspondre à une « finalité déterminée, explicite et légitime », souligne la spécialiste. Table rase des DCP qui n’ont pas lieu d’être : les DCP stockées le sont pour une bonne raison. Ensuite, les données doivent répondre correctement à cette finalité : c’est le principe de la pertinence. Pour la transparence, toutes les personnes désignées par des DCP stockées doivent tout bonnement être informées (installer le fameux « bandeau cookie » par exemple).

Enfin, toutes les DCP ne peuvent être stockées qu’un certain temps (5 ans pour les bulletins de paie, 5 ans pour le registre du personnel, 3 ans pour les prospects, etc.), elles doivent être sécurisées (en plaçant les documents sous clef, en créant des mots de passe particuliers, etc.). La consultante conseille à cet égard de tabler sur une date d’anniversaire afin de traiter l’échéance des DCP une fois par an (cela évite de tenir les comptes de chaque donnée selon sa date d’arrivée). Parfois, aucune durée de conservation n’est prescrite (selon les DCP). Il faut alors décider de la durée nécessaire requise pour l’accomplissement de l’objectif fixé. Cette durée est toujours à justifier dans le registre de traitement. Bien entendu, l’accès aux données doit seulement être ouvert aux concernés (restreindre l’accès à certains bureaux, certaines salles, registre du personnel sous clef, broyeur papier, etc.).

Matthieu Barry

Laisser un commentaire

Suivant