RGPD pour les artisans: ce qu’il faut savoir

Source: Le Monde des Artisans – RGPD: artisans, êtes-vous prêts?

 

Depuis le 25 mai dernier, le Règlement général sur la protection des données personnelles (RGPD) est entré en vigueur. Remplaçant une directive de 1995, ce texte, visant à harmoniser le régime juridique européen et à renforcer les droits des individus sur leurs données, implique une mise en conformité du côté des entreprises.

Les pistes d’amélioration

Le RGPD harmonise le régime juridique européen et remplace une directive de 1995. Il vise trois objectifs :

  • renforcer les droits des individus sur leurs données : création d’un droit à la portabilité des données personnelles, protection des mineurs accrue ;
  • responsabiliser les acteurs traitant des données : entreprises, institutions, responsables de traitement et sous-traitants ;
  • renforcer la régulation et la coordination : les autorités de protection des données prendront plus facilement des décisions et des sanctions, à l’échelle de l’UE.

Quelles sanctions ?

Depuis le 25 mai 2018, tout traitement contraire au règlement est passible de sanctions : amendes allant jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel. Les entreprises hors UE traitant des données à l’intérieur de l’UE sont aussi concernées.

Seront responsables du traitement des données les entreprises et institutions, mais aussi les prestataires informatiques et donneurs d’ordre. Ainsi, il ne sera pas possible de déléguer ses responsabilités à d’autres entités.

Le rôle de la CNIL

En France, c’est la Commission nationale de l’informatique et des libertés (Cnil) qui veillera à la bonne application du RGPD. En parallèle, certaines démarches de conformité des entreprises seront assouplie.

Les contrôles seront réalisés en ligne, sur audition et sur pièces. La Cnil vérifiera le respect des principes fondamentaux : loyauté du traitement, pertinence et sécurité des données, durée de conservation.

Où en est-on ?

Pour l’heure, la majorité des entreprises françaises ne sont pas prêtes, voire n’ont jamais entendu parler du RGPD.

C’est pourquoi la Cnil recommande, dans un premier temps, de privilégier les actions de mise en conformité avec les règles de fond du RGPD et de préparer si nécessaire une analyse d’impact (DPIA), “dans un délai raisonnable de trois ans”.

Les entreprises bénéficient d’un droit à l’erreur : avant toute amende, des avertissements puis des mises en demeure sont prononcés. De plus, la nature de l’infraction, sa gravité, son caractère délibéré et sa répétition seront pris en compte dans la sévérité de la décision de la Cnil.

 

Qu’est-ce qu’une donnée personnelle ?

Il s’agit de toute information permettant de reconnaître ou identifier une personne, directement ou indirectement.

Sont concernés : nom, prénom, adresse postale et électronique, téléphone, numéro de sécurité sociale, de carte bancaire, revenus, plaque d’immatriculation, mots de passe, adresse IP, historique de navigation web, de tchat, de géolocalisation, photo…

Leur divulgation ou leur mauvaise utilisation peut porter atteinte aux droits et libertés des personnes et à leur vie privée.

Où figurent ces données ?

En entreprise, ces données figurent notamment dans les contrats, fiches de paie, formulaires, documents relatifs à la santé, casiers judiciaires, trombinoscopes, badges d’accès, matériels informatiques pro, répertoire mail interne de l’entreprise, documents commerciaux (devis, factures, fiches d’intervention…), documents bureautiques, bases de données clients…

Note : sauf autorisation préalable, ces données doivent être stockées en Europe. En cas de fuite de données, l’entreprise devra le signaler dans les 72h à la Cnil.

Définition du “traitement” des données : collecte, enregistrement, organisation, structuration, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission, diffusion, mise à disposition, rapprochement, interconnexion, limitation, effacement, destruction.

Se préparer en 6 étapes

Pour aider les professionnels à se préparer au RGPD, la Cnil propose six étapes :

1. Désigner un pilote. (Valable surtout pour les grandes structures). Le Délégué à la Protection des Données se chargera des procédures de gestion des données, dont il assurera la conformité. Dans les petites entreprises, il est possible de nommer un salarié ou un prestataire extérieur.

2. Cartographier les traitements de données personnelles.
Il s’agit de mettre en place un registre des traitements, comprenant :

  • les types de traitement de données personnelles
  • les catégories de données personnelles
  • les acteurs en contact avec ces données.

Pour chaque donnée, il faut indiquer :

  • pourquoi vous les avez recueillies (le but étant d’en avoir le moins possible)
  • le lieu de stockage
  • le temps de conservation.

3. Prioriser les actions et identifier les traitements à risque. Une fois le registre établi, identifiez les anomalies, puis déterminez des actions pour vous mettre en conformité.

Exemple : vous pouvez imposer à vos salariés la personnalisation de leur mot de passe de messagerie, ou effacer les archives d’anciens salariés.

4. Gérer les risques. Pour chacun des risques identifiés, il faut mener une analyse d’impact (DPIA, Privacy Impact Assessment) sur la protection des données. L’idée est notamment de mesurer les risques de fuite des données, en envisageant tous les cas de figure.

5. Organiser les processus internes. Pour conserver en permanence un haut niveau de protection des données, adoptez de « bons réflexes ». Par exemple, limitez l’accès des salariés aux données des clients, afin que seuls les gestionnaires concernés puissent en disposer.

6. Documenter la conformité. Pour être au clair en cas de contrôle de la Cnil, mettez à jour tous les documents liés aux données personnelles :

  • registre des traitements
  • DPIA
  • clauses contractuelles, BCR et certifications relatives à l’encadrement des transferts de données hors de l’UE
    information aux personnes : notes internes, recueil du consentement…

Gare aux arnaques

La Cnil met en garde contre les tentatives d’arnaques de faux “experts RGPD”, susceptibles de soutirer de l’argent aux chefs d’entreprises. Pour être conseillé, n’hésitez pas à appeler la Cnil au numéro dédié : 01 53 73 22 22.

La Cnil met en outre à disposition 17 fiches pratiques rappelant les bases de la protection des données, sur son site www.cnil.fr.

Un guide spécial à destination des petites entreprises est également disponible. Cliquez ici pour télécharger le guide dédié aux TPE -PME

Artisans, sécurisez vos données informatiques

Les petites entreprises ne sont pas épargnées par la cybercriminalité. Comme leurs grandes sœurs elles possèdent des données sensibles intéressant les pirates informatiques : Données clients, contacts mails, noms de domaine, marques et autre protection industrielle type brevets et dessins / modèles.

Les tentatives de rançonnage se multiplient. Le rançonnage (ou Ransomware) est une attaque de plus en plus observée au sein de petites entreprises. Il s’agit d’un virus souvent transféré sous forme de pièce jointe dans un mail qui crypte les données de l’entreprise. Le pirate contacte ensuite le gérant pour lui proposer de décrypter les données contre le paiement d’une somme plus ou moins importante.

Pour limiter les risques l’Agence Nationale de Sécurité des Systèmes d’Information (ANSSI) a compilé 12 règles de prévention dans un « Guide de bonnes pratiques de l’informatique » à destination des non-spécialistes.

Parmi ces bonnes pratiques :
• L’utilisation de mots de passe complexe,
• La sécurisation de son WIFI,
• La non utilisation de bornes WIFI publiques,
• Le non partage de son wifi à des personnes extérieures,
• La vigilance lors de l’ouverture de mails avec pièces jointes et émetteur inconnu

Il est consultable en ligne : http://www.ssi.gouv.fr/guide/guide-des-bonnes-pratiques-de-linformatique/
L’ANSSI propose aussi une liste d’actions à mener en cas de doutes ou d’incidents : http://www.ssi.gouv.fr/en-cas-dincident/

Un certain nombre d’idées reçues sont encore très répandues :
• Les données n’intéressent personne
• Avoir un mot de passe pour chaque site, c’est beaucoup trop complexe, et ça n’apporte finalement pas grand-chose
• L’ antivirus protège tout le réseau
• Le Fournisseur d’Accès Internet (FAI) fait le nécessaire pour sécuriser le réseau
• Si un ordinateur est piraté, on s’en rend compte
• Il n’existe pas de virus sur Mac, Linux ou les smartphones
• Protéger un ordinateur demande beaucoup de temps
• En utilisant des services gratuits, on conserve la main sur ses données stockées

Afin de sensibiliser les artisans à la sécurité de leurs données, et parce que la perte de données n’est pas qu’une histoire de cybercriminalité mais que le premier risque est le facteur humain, votre Chambre de Métiers organise des ateliers gratuits comme celui du lundi 9 mai dernier : http://www.artisans-gironde.fr/event/atelier-numerique-information-securisation-donnees-de-entreprise .

Vous êtes intéressé?

Votre contact: Solène di Paolo 05 56 999 414 ou solene.dipaolo@artisanat-aquitaine.fr