Une nouvelle régulation européenne, le Règlement Général sur la Protection des Données (RGPD), est entrée en application le 25 mai 2018. Il renforce les droits des personnes et responsabilise davantage les organismes publics et privés qui traitent leurs données.

Le RGPD s’applique à toute organisation, publique et privée, qui traite des données personnelles pour son compte ou non, dès lors :

• qu’elle est établie sur le territoire de l’Union européenne ;
• que son activité cible directement des résidents européens.

Ainsi, si vous traitez ou collectez des données pour le compte d’une autre entité (entreprise, collectivité, association), vous avez des obligations spécifiques pour garantir la protection des données qui vous sont confiées.

Le critère à prendre en compte est le volume ou la sensibilité des données traitées et non pas la taille ou le nombre d’employés d’une entreprise.

La CNIL met à votre disposition un guide pratique rappelant les précautions élémentaires à mettre en œuvre pour être en conformité avec le RGPD.

L’actualité témoigne d’un nombre de plus en plus important de failles de sécurité et d’attaques informatiques. Ces dernières peuvent avoir des conséquences désastreuses. Le niveau de sécurité de l’entreprise dans sa globalité se pose en préalable à la sécurité des données. Au même titre que vous protégez le nom de votre PME ou son logo, vitaux pour le fonctionnement de votre entreprise, les données personnelles doivent faire l’objet de mesures de sécurité particulières, informatiques et physiques.

Le responsable doit prendre toutes les mesures nécessaires au respect de la protection des données personnelles dès la conception du produit ou du service.

Ainsi, il est obligé de limiter la quantité de données traitées dès le départ (principe dit de minimisation : « Je ne collecte que les données dont j’ai vraiment besoin ») et doit démontrer cette conformité à tout moment. Le RGPD exige que les données soient pertinentes par rapport à l’objectif pour lequel vous collectez les données.

L’accès aux données est réservé uniquement aux personnes désignées ou à des tiers qui détiennent une autorisation spéciale et ponctuelle (service des impôts par exemple.)

Enfin, le responsable des données doit fixer une durée raisonnable de conservation des informations personnelles.

Pour plus d’informations, https://entreprendre.service-public.fr/vosdroits/F24270