Sélectionner une page

Comment rédiger rapidement son registre RGPD (facile, je te le donne)

Ou comment se mettre en conformité RGPD sans en avoir l’air…
le sujet le moins sexy de 2018, c’est clair.

Qui a envie de se lancer dans les procédure, la paperasse… c’est toujours long, on perd du temps et les infos sont parfois contradictoires.
Au début j’ai pensé : « encore un règlement fait pour les grosses structures et qui ne tient pas compte de nous, les artisans et petites entreprises ! »
Et puis j’ai commencé à m’y intéresser… ça n’a pas été facile.

Quiconque a déjà travaillé avec moi sait que la paperasse… c’est vraiment pas mon truc !
Mais ça y est, j’ai compris et franchement on fait toute une histoire de ce RGPD.

Vous allez voir, quand on est une petite structure, c’est facile de remplir son registre !

Déjà il faut comprendre que en tant qu’entrepreneur vous possédez des données.
Oui oui des données : votre répertoire de contacts, avec des données de personnels, de clients ou de fournisseur.
Votre ordinateur ou téléphone sont remplis de données « personnelles ».
Vos fiches de payes et factures SONT aussi des données personnelles.

Et c’est bien cela que le Règlement Général sur le Données Personnelles de l’union européenne vise : les données personnelles stockées numériquement !

 

Comment se mettre en conformité RGPD ?

Attention, je ne m’adresse là qu’a ceux qui sont à leur compte, aux entreprises de moins de 250 employés et aux auto-entrepreneurs.

Si vous vendez par internet, si vous avez un e-shop, une e-boutique, si vous avez un grand nombre de salariés, … ou si la récupération de données est la clé de voute de votre société, alors cet article n’est pas pour vous !

Par contre si vous êtes en auto-entreprise, une TPE – PME de moins de 250 employés, alors suivez le guide et créez, pas à pas, votre registre RGPD.

Comme vous, j’ai reporté ce moment tant que j’ai pu… la phobie administrative ne touche pas que les hommes politique !

Mais voilà, fin 2019 arrive à grand pas et nous devons TOUS nous mettre en conformité avec le RGPD avant la fin de cette année.
Je sais, encore des papiers à remplir et pour quoi ? je vais vous expliquer.

Mais d’abord, avez-vous entendu parlé de ce médecin,
et tant d’autres, qui se sont fais arnaquer ?

Ci-dessus la vidéo de « L’Œil du 20h » de France 2.

 

RGPD : attention aux arnaques

Un médecin vient de payer plus de 700 € à une société frauduleuse à cause de sa méconnaissance de ce Règlement Général de Protection des Données.
En même temps, je peux le comprendre.
Qui voudrait payer une amende pouvant aller jusqu’à 4% de son CA annuel ?!
 (non non, pas la marge, le profit … le Chiffre d’affaire !)

Car c’est la-dessus que se joue l’arnaque : 

1/ en France on déteste la paperasse

2/ mais on a pas envie de payer des amendes !

3/ donc une personne « mal intentionnée » va vous terrifier en mettant en avant les sommes folles que l’État pourrait nous demander.

 
Il est facile de se mettre en conformité RGPD (et rapidement !)
Comme moi, vous allez trouver ridicule de ne pas vous y être mis plus tôt !
Pour toutes les sociétés de moins de 250 salariés, la mise aux normes est plus simple qu’il n’y parait.

Si si, beaucoup plus simple que vous pouvez le croire.
Petites explications rapides ci-dessous.


Pour vous, professionnels, il est obligatoire d’avoir un registre de traitement des données dans votre entreprise (auto-entrepreneurs aussi). Aujourd’hui ce n’est peut être pas encore regardé de trop prêt car la Cnil qui nous laisse jusqu’à fin 2019 pour nous mettre en conformité.

Le régulateur de cette loi, celui qui vous mettra à l’amende dès fin 2019, c’est la CNIL : Commission Nationale de l’Informatique et des Libertés.
C’est elle qui depuis que l’informatique à pris tout l’espace qu’on lui connait aujourd’hui, a commis la loi du 6 janvier 1978 dite « Informatique et libertés »… l’ancêtre du RGPD.

La Cnil, Commission nationale de l’informatique et des libertés, a une mission noble :
- elle veille a ce que l’informatique soit au service des citoyens. 
- a ce que notre identité ou notre vie privée soient protégés
– à ce que personne ne porte atteinte aux droits de l’homme ni à l’identité humaine.
C’est une autorité indépendante… qui a le droit de sanctionner.

Google en a fais les frais récemment.


Il est dans le viseur de notre Cnil depuis un moment, car il ne respecte pas le droit Français, et droit Européen.
« Le géant américain va devoir débourser 50 millions d’euros pour ne pas avoir respecté les nouvelles règles européennes en matière de données personnelles. »

Attendrez-vous le dernier moment pour vous mettre en conformité RGPD ?


Combien êtes-vous prêt à risquer ?
« Une sanction RGPD peut s’élever à 20 000 000 d’euros ou, dans le cas d’une entreprise, à 4% du chiffre d’affaires mondial total de l’exercice précédent (le montant le plus élevé étant retenu) »


Et le fait d’être totalement négligeant sur la mise en place du RGPD est plutôt une circonstance aggravante.

Qu’est-ce que c’est « les données personnelles » ?

Les données personnelles ce sont « toutes les informations se reportant à une personne physique identifiée ou identifiable ».

En traduction c’est une personne directement identifiable par son nom et son prénom. Ou indirectement identifiable grâce a un numéro d’identifiant, un numéro de téléphone, une adresse… mais aussi par une image.

Vous voyez… même un simple numéro de téléphone sans nom est une donnée personnelle. Donc quand vous demandez un nom ou mail voir une adresse de livraison, vous êtes en train de collecter des données.
De même lorsque vous créez une fiche de paye ou une facture client, vous avez collecté des données.

Ou quand vous faites une livraison chez un client, vous avez donc son adresse, son étage, ses horaires et parfois même son digicode. Ce sont des données plutôt sensibles si elles tombaient entre de mauvaise main.

Si vous avez un ERP ou un CRM, voir même une solution pour envoyer des emails, vous récoltez des données.

ERP : « Enterprise Ressource Planning » permet de gérer les achats, les ventes, la comptabilité… et donc a la liste des fournisseurs et clients.

CRM : « Customer Relationship Management » permet la gestion de contacts… et donc liste tous vos prospect et clients. Là aussi un flot de données personnelles/

Vous voyez bien, cela implique un bon nombres de faits et gestes que vous pratiquez régulièrement. Et même sans vous en rendre compte !
Vous devez donc vous mettre en conformité avec le RGPD.

Pourquoi l’Europe a eu besoin de pondre un tel règlement ?
Parce que certains abusaient de nos données.

N’avez vous jamais reçus aucun Spam ? 
Jamais aucune sollicitation non désirée ?
Vous le savez, lorsque que vous vous inscrivez quelque part, votre mail est stocké et parfois même revendu. C’est un business très lucratif.

« Quand c’est gratuit, c’est vous le produit »

Je ne vous ferez pas un cours sur la vente de données, ce n’est pas (encore) le sujet.

Rappelez vous juste le scandale Facebook avec Cambridge Analytica : grosso modo, Facebook a permis a cette entreprise d’analyser des données de million d’utilisateur… sans prévenir les utilisateurs. Et un compte Facebook est bourré de données personnelles… très très personnelles.
Pour ceux qui veulent en savoir plus, voici l’article du Monde a ce sujet

Vous ne vous êtes pas demandé pourquoi, maintenant, sur les pages jaunes il fallait cliquer pour voir apparaitre un numéro ?

C’est parce que des petits malins on inventés des robots capables de lire et pomper les numéros de téléphone.

Pareil pour les adresses mails qui trainent sur internet.

TOUT est récupérable et donc : utilisable.

C’est pourquoi aujourd’hui, l’Union Européenne et tous ses ressortissants, se sont calqué sur la loi française pour promulguer une loi européenne qui interdit de voler des données. Ou du moins de les exploiter sans le consentement de celui à qui elles appartiennent.

Seriez-vous un voleur de données ?

Dès que vous avez des adresses postales ou mail, 
Dès que vous avez des numéros de téléphone, 
Dès que vous avez des fiches de paye, 
Dès que vous avez un annuaire fournisseur, 

Alors, oui, vous êtes un collecteur de données.

Voleur ?

Si vous ne vous mettez pas en conformité, oui !

Qui doit être en conformité avec le RGPD ?

c’est simple : toutes les entreprises travaillant et/ou vendant sur le territoire européen.

Quand se mettre en conformité avec ce RGPD ?

OUPS, on est déjà plutôt hors délais…

la commission européenne a mis en place la protection des données qui doit être applicable Depuis le 25 mai 2018. 
Heureusement, les TPE et petites PME ont encore jusqu’à fin 2019 pour se mettre en conformité. Faites-le dès maintenant, ce sera réglé !

Comment faire pour être en conformité RGPD ?

Tout simplement, en commencent par constituer un « registre des données ».


Qu’est ce que le registre des données ?
C’est un cahier/registre de toutes vos activités de traitement des données.
Vous allez recenser où sont ces données, qui en dispose, ce que vous en faites, … Pas de panique, je vous aide.

Je vais vous expliquer tout ça
, mais avant, une petite question :

Toutes ses données que vous stockez, en avez vous vraiment besoin ?
 De toutes ? Vraiment ?

Le premier conseil : faire le tri !

Vous avez besoin de garder le nom, prénom, … mais avez vous l’utilité de garder dans vos fichiers les dates de naissance ? les digicodes ? les 5 adresses mails de ce fournisseurs ? ou les 3 anciens numéros de téléphones de ce clients que vous n’avait plus revu depuis… houlà… si longtemps ?

La question essentielle : est-ce que ces données vous sont utiles au quotidien ?
Faites le tri ! effacer sans regrets ce dont vous n’avez plus besoin. 
Ne garder que l’utile.

Un peu comme une « détoxe », un grand nettoyage des données comme on fait un grand nettoyage de printemps.

Vaut-il mieux les stocker ou les redemander au besoin ?

Bravo, vous venez d’alléger considérablement votre carnet d’adresse, ERP ou CRM.

Donc, qu’est-ce qu’un registre des activités de traitement des données ?

D’après la Cnil, c’est un « registre » dans lequel vous allez consigner :


a) le nom et les coordonnées du responsable du traitement et, le cas échéant, du responsable conjoint du traitement, du représentant du responsable du traitement et du délégué à la protection des données;

 

 

b) les finalités du traitement;

c) une description des catégories de personnes concernées et des catégories de données à caractère personnel;

d) les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les destinataires dans des pays tiers ou des organisations internationales;

e) le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l’article 49, paragraphe 1, deuxième alinéa, les documents attestant de l’existence de garanties appropriées;

f) dans la mesure du possible, les délais prévus pour l’effacement des différentes catégories de
données;

g) dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l’article 32, paragraphe 1.

Et là vous vous dites :

Hein ?! mais je fais ça moi ?

Traduction : 
si, rappelez-vous, vous avez des numéros de téléphones de clients en pagaille !
Ainsi que des « données » fournisseurs, des « données » de prospection ou des « données » personnelles…

Cette adresse mail ne sera utilisée QUE par Anne Burtin Création. Vous pouvez vous désinscrire à tout moment

Prenez votre plus belle plume
(ou un bon traitement de texte)
et commencer à noter :

a/ Vous êtes ce fameux DPO,

ce délégué à la protection des des données. En tant que chef d’entreprise, c’est souvent vous qui allez traiter les données.

Inscrivez donc votre nom et vos coordonnées : adresse, téléphone et mail.

Vous pouvez aussi désigner une autre personne, seule ou avec vous comme 2e DPO. Ce/cette collaborateur-collaboratrice doit être capable de gérer les données, donc d’avoir accès à tous les documents visés par le RGPD. La plupart du temps il s’agira d’effacer des données (adresse, mail, …) si une personne en fait la demande.

Exemple 1 : un prospect ne veut plus recevoir vos mail, vous devez avoir mis en place un moyen de désabonnement dans lequel il ne sera plus recontacté.

Exemple 2 : un employé vous quitte, vous devez pouvoir effacer les données le concernant s’il en fait la demande… et transmettre cette demande à qui pourrait détenir ces données.

b/ Dans quel but avez vous récupérés des données personnelles ?


Essayez de faire une liste la plus précise possible.
Dans le but de :

  • gérer la paie ?
  • informer vos clients ?
  • rencontrer des nouveaux prospects ?
  • générer de la pub ?
  • fidéliser vos clients régulier ?

Expliquer pourquoi vous avez ces données là.

c/ De quelles données on parle ? 
Des fournisseurs ? de vos clients ? 


Faites des catégories de personnes concernées.


Exemple : clients, prospects, fournisseurs, employés, …
Vous n’avez pas à nommer chaque personne dans chaque catégorie. Juste a établir une liste de catégorie.

c bis/ Quelles genre de données vous conservez :

  • connexion à un compte ?
  • situation familiale ?
  • date de naissance ?
  • adresse… ?
  • Combien de temps les conservez-vous ?

Faites-en la liste (d’où l’importance du ménage de printemps effectué précédemment)

Si vous ne pouvez donner de temps, donner un critère d’effacement pour chaque catégorie :


  • jusqu’à la fin de la durée du contrat
  • 
jusqu’à opposition

  • jusqu’à désinscription

d/ Vendez-vous ou distribuez-vous ces données ?

Vous pensez que non ? mais en fait si :

  • Votre comptable n’aurait-il pas besoin de nom, adresse,… pour l’établissement de paies ?
  • Fournissez-vous / partagez-vous ces données à votre réseau ?
  • Avez-vous l’intention de partager ces données ?
  • Avez-vous l’intention de les vendre ?
  • Ne les transmettez-vous pas à un fournisseur ? à un partenaire ?

il y a de multiples raison pour lesquelles on « partage » des données, essayez d’en faire le tour et décrivez les.

Astuces : Si comme moi vous avez un tête déjà bien trop remplie, gardez un papier et un crayon à côté de vous et notez, dès que vous y pensez ! 

Vous savez, quand vous y pensez vous vous dites « à tiens je devrais rajouter ça »… et puis vous oubliez. c’est récurrents chez moi. Aujourd’hui j’utilise les notes de mon smartphone pour tout noter.

e/ Avez vous l’intention de transférer ces données vers un autre pays ? 


Si oui lequel ou lesquels ?
Et là vous vous dites que non, jamais vous ne livreriez des données a un autre pays… mais ne faites-vous rien livrer à vos clients en provenance de l’étranger ? 
Avez-vous fourni cette adresse postale ? 
Avez-vous donné ce numéro de téléphone pour la livraison ?

Certes, vous n’avez pas vendu cette adresse, mais vous avez transférer une donnée à l’étranger !
Notez donc le nom de votre fournisseur ou partenaire et demandez-lui s’il est en conformité avec le RGPD. S’il est Européen, c’est obligatoire pour lui !

Si vous ne travaillez JAMAIS avec d’autres pays, ben tout simplement « Non ».

f/ Combien de temps mettrez-vous a effacer des données ?


Le DPO -mentionné plus haut- doit, sur simple demande, effacer les données concernées.

Tenez compte du délais !

Jours fériés, vacances du DPO, …

  • Quel délais vous permettra d’effacer les données si quelqu’un vous le demandez ?

  • Est-ce dans la journée ? 

  • Ou, week-end compris, plutôt 72h ? 

  • Vous aurez besoin peut être de plus de temps ?


C’est un engagement que vous prenez, vous devez le respectez.

g/ Décrivez quelle(s) mesure(s) de sécurité vous avez mises en place pour sécuriser vos données.

  • Possédez-vous un anti-virus ?
  • Faites-vous régulièrement le mise à jour de vos logiciels
  • Changez-vous régulièrement de mot de passe ? Quel degrés de complexité lui donnez-vous ?
  • Avez vous une sauvegarde des données ?

Pensez à la sécurité de votre ordinateur mais aussi à la sécurité de votre site web.

Pour votre site web, vous pouvez vous rapprocher de votre hébergeur ou développeur pour en savoir un peu plus.

Cette adresse mail ne sera utilisée QUE par Anne Burtin Création. Vous pouvez vous désinscrire à tout moment

 

Pour ceux qui ne voudraient pas tout taper,
Donner moi votre mail et je vous enverrez un fichier Excel à remplir.

Vous voyez… le RGPD c’est facile

ça ne prend presque pas de temps, et vous êtes en conformité avec le RGPD.

Imprimez-le et gardez-le précieusement (vous pouvez aussi le stocker sur votre ordinateur à condition de faire une copie de sauvegarde).

Respectez les engagements que vous avez pris par écrits. 
Et pensez à le mettre à jour chaque année ou à chaque modification majeure.


Si vous êtes une petite structure et que la données clients n’est pas votre business, vous n’êtes pas obligé de le transmettre à la Cnil. Par contre, en cas de contrôle, vous devez fournir votre registre.

« Les organismes privés (non chargés d’une mission de service public) ne sont pas tenus de communiquer le registre au public. Néanmoins, ils peuvent, s’ils l’estiment opportun, le communiquer aux personnes qui en font la demande. »

Pour une petite entreprise ce registre, quelques feuilles au final, est suffisant.

Mais ce n’est pas tout !

Ha ben non, ce serait trop facile.

Vous devez aussi signaler toutes intrusions, usurpation, vol de vos données à la Cnil.


« Ces données ont fait l’objet d’une violation (perte de disponibilité, d’intégrité ou de confidentialité de données personnelles, de manière accidentelle ou illicite). »

Oui, dès que vous pensez que quelqu’un a « récupéré » vos données, est parti avec, ou que vous n’y avez plus accès vous devez :

1/ prévenir cybermalveillance, Assistance et prévention du risque numérique ici https://www.cybermalveillance.gouv.fr/


2/ prévenir toutes les personnes concernées, oui oui, tout votre fichier. La encore, avoir fait un grand nettoyage de vos données avant va vous soulager !

 

Bravo, vous avez réussi votre registre RGPD

maintenant passons à la suite de cette loi…

Ça c’était pour la partie paperasse… mais vous n’en avait pas encore tout à fait fini avec le RGPD.

Si vous avez un site web, vous devez mettre en place une page pour expliquer votre politique de confidentialité.

Comme pour les mentions légales, c’est obligatoire si vous collectez des données via votre site web.

Vous n’en collectez pas ?
Vraiment ?

N’avez-vous donc pas de formulaire contact ?

À bientôt pour ce prochain volet.

Cette adresse mail ne sera utilisée QUE par Anne Burtin Création. Vous pouvez vous désinscrire à tout moment