A compter du 25 mai 2018, le règlement général sur la protection des données (RGPD) sera applicable. Pour aider les petites et moyennes entreprises (PME), la Cnil vient de publier un guide pratique rappelant les grandes étapes qu’elles doivent respecter pour être en conformité avec la nouvelle réglementation à venir…
RGPD : que retenir du guide pratique pour les PME ?
La Cnil a mis en ligne sur son site web (www.cnil.fr) un guide pratique de sensibilisation au RGPD des PME qui a pour objectif d’expliquer simplement aux PME ce qu’elles doivent faire pour protéger les données personnelles à compter du 25 mai 2018.
Ce guide comporte 6 parties dont les intitulés sont les suivants :
- « Pourquoi ce nouveau règlement ? »
- « Quels sont les 6 avantages pour votre PME ? »
- « Données personnelles, traitements de données : de quoi parle-t-on ? »
- « Comment passer à l’action ? »
- « La sous-traitance »
- « Traitements de données à risques : êtes-vous concerné ? »
La Cnil identifie 6 bons réflexes que vous devez adopter. Les voici :
- ne collectez que les données vraiment nécessaires (quels sont vos objectifs, quelles données sont indispensables pour atteindre ces objectifs, sont-ils pertinents ?, etc.) ;
- soyez transparent (une information claire et complète constitue le socle du contrat de confiance qui vous lie avec les personnes dont vous traitez les données) ;
- pensez aux droits des personnes (vous devez répondre dans les meilleurs délais aux demandes de consultation, de rectification ou de suppression des données) ;
- gardez la maîtrise de vos données (le partage et la circulation des données personnelles doivent être encadrées et contractualisées, afin de leur assurer une protection à tout moment)
- identifiez les risques (si vous traitez une multitude de données, ou bien des données sensibles, ou si vous avez des activités ayant des conséquences particulières pour les personnes, des mesures spécifiques peuvent/doivent s’appliquer) ;
- sécurisez vos données (les mesures de sécurité, informatique mais aussi physique, doivent être adaptées en fonction de la sensibilité des données et des risques qui pèsent sur les personnes en cas d’incident).