Le Règlement général sur la protection des données (RGPD) entre en vigueur fin mai. Il renforce la responsabilité des entreprises quant aux informations qu’elles collectent.
1 Réaliser un état des lieux
C’est une obligation incontournable du texte : vous devez procéder à un inventaire complet des données collectées par votre entreprise. Il faut lister le type d’informations réunies, les moyens utilisés (formulaire informatique ou papier, logiciels, etc.), leur finalité et leur durée de conservation. “Cette analyse se fait à travers des entretiens avec les responsables des services et l’envoi de questionnaires détaillés”, précise Jean de Laforcade, associé de Grant Thornton.
Au premier rang des entités concernées figurent les RH et leurs données sur le personnel. Mais les services commerciaux et le marketing sont aussi en ligne de mire : les outils de gestion de la relation client (CRM) rassemblent souvent des informations sur les habitudes des consommateurs et des clients. “Le commercial d’une société peut ainsi avoir noté des détails personnels sur ses prospects : le nom de leur épouse, la date de naissance de leurs enfants, etc. Des renseignements facilitant la relation, mais dont il faut désormais justifier la collecte.” En cas de contrôle de la Commission nationale de l’informatique et des libertés (Cnil), l’entreprise devra fournir un registre complet de ces éléments. Ce document numérique doit être tenu à jour et reste l’un des points clés de la réglementation.
2 Repérer les infos sensibles
Les informations collectées n’ont pas toutes le même statut juridique. Les numéros de Sécurité sociale ou de carte bancaire ne sont pas des données sensibles. Mais l’origine raciale ou ethnique, les opinions politiques et religieuses, l’appartenance syndicale, les données de santé ou relatives à l’orientation sexuelle le sont. Ces données “doivent être anonymisées et avoir fait l’objet d’un consentement exprès de la part des personnes concernées”, rappelle Alain Bensoussan, avocat spécialisé en sécurité numérique.
L’anonymisation consiste à stocker sur des fichiers séparés l’identité de la personne et les renseignements la concernant. De même, il faut veiller à ce que le médecin du travail, quand il est salarié de l’entreprise, ne transmette pas aux RH les informations relatives au personnel. “La sécurité des données de santé n’est pas optimale, prévient Xavier Leclerc, PDG de DPMS (logiciels de gestion des données). Elles sont rarement cryptées et souvent enregistrées sur un poste informatique connecté au réseau de l’entreprise ! Or elles doivent être conservées sur un serveur à part.”
Avec capital