gdpr

Article

Les données de vos clients, fournisseurs et membres du personnel sont-elles déjà protégées?

Actualités, avril 2018

Le 25 mai de cette année, le nouveau Règlement général sur la protection des données ou ‘GDPR’ entre en vigueur. Un ‘sujet chaud’ dans les médias et pendant des moments de réseautage, mais quelles implications le GDPR a-t-il réellement pour votre PME et quelles actions concrètes pouvez-vous ou devez-vous entreprendre dans ce cadre?

On ne peut y échapper. Le GDPR s’applique à vous en tant que PME dès que vous travaillez avec des données à caractère personnel (il s’agit de toutes les données pouvant fournir des informations sur une personne physique identifiée ou identifiable).

Demander un nom pour établir une facture, envoyer des lettres d’information ou de la publicité à vos personnes de contact, placer des caméras sur le lieu de travail ou même supprimer d’anciennes adresses e-mail sont toutes des actions qui relèvent du champ d’application du GDPR.

On attend de vous que vous respectiez les obligations du GDPR. Il s’agit entre autres des obligations suivantes:

  • la transparence concernant les données collectées par vous et le but de leur traitement,
  • la proportionnalité: par exemple ne pas conserver les données plus longtemps que ce qui est nécessaire pour le but de leur traitement ou limiter l’accès aux données selon les besoins,
  • la confidentialité et
  • la responsabilisation: il s’agit de pouvoir démontrer que vous fournissez les efforts nécessaires et que vous assumez les responsabilités afin de protéger les données à caractère personnel collectées ou traitées par vous.

Le GDPR définit ces conditions comme des principes généraux. C’est à vous en tant qu’entreprise d’élaborer vous-même des actions concrètes à cet égard.

Exemples d’actions

  • Elaborer une politique générale de la vie privée qui donne entre autres un aperçu des droits d’accès et des délais de conservation.
  • L’établissement d’une politique de la vie privée qui informe vos clients concernant les données collectées par vous, le but de leur traitement, les délais de conservation que vous pratiquez, la ou les personnes à qui vous transmettez éventuellement des données, ainsi que les droits de vos clients en tant que personnes physiques et sujets des données.
  • La conclusion de conventions avec de tierces parties à qui vous transmettez des données à caractère personnel, dans lesquelles vous demandez la garantie que ces tierces parties traitent les données reçues conformément au GDPR.
  • La mise à jour d’un registre interne des données qui reproduit quels processus ont lieu en ce qui concerne les données à caractère personnel dans l’entreprise.
  • Le fait de dispenser des formations et des sessions de sensibilisation à vos collaborateurs, afin qu’ils sachent comment ils doivent gérer les données à caractère personnel d’une façon correcte.
  • La désignation d’un délégué à la protection des données ou ‘DPD’ qui agit en tant que point de contact et chien de garde dans le cadre du respect des obligations du GDPR.

Il est important de satisfaire aux exigences générales fixées par le GDPR. Comment vous procédez et quelles actions vous devez entreprendre, sont des questions en grande partie soumises à votre propre jugement.

Partant de quelques interviews et un quick scan, nous pouvons vous accompagner dans l’établissement d’un plan d’action GDPR sur mesure et/ou dans l’implémentation de ce plan.

Publié le 18/04/2018
Mathilde Boucquiau,
mboucquiau@deloitte.com

Notre lettre d'information mensuelle gratuite dans votre boite mail? Cliquez ici
Did you find this useful?