La première décision est tombée le 7 mai dernier : la CNIL a notifié une sanction de 250.000 euros à l’encontre de la société Optical Center pour ne pas avoir suffisamment sécurisé les données personnelles de ses clients e-commerce.
S’il était tentant de s’interroger sur les réelles velléités de la commission à faire appliquer rapidement le Règlement européen, celle-ci a répondu aux sceptiques de la plus claire des manières.
Pour éviter tout reproche de la CNIL, il devient donc urgent de se mettre en conformité. Si la procédure est contraignante pour les grosses entreprises, il n’est pas si compliqué pour les startups et PME de se protéger par quelques mesures simples à appliquer :
- Faites un rapide audit de la situation : les trois questions essentielles à se poser sont la typologie des données traitées (quelles données?), le lieu de stockage (où?) et la finalité du traitement (pourquoi?). Tout traitement inutile doit être banni. Ainsi, si vous demandez à vos clients leur code d’interphone alors que les livraisons se font exclusivement en point relais, la CNIL pourra vous reprocher le traitement de cette donnée.
- Mettre à jour ses CGU/CGV : le maître mot est l’information. Il convient de mettre à jour vos mentions légales et votre politique de confidentialité afin qu’elles précisent le type de données collectées, la finalité du traitement, la localisation physique des données, leur temps de conservation, les démarches pour consulter ses données stockées, modifier ses abonnements aux mailings et demander la suppression de ses données.
- Mettre en place un opt-il pour les cookies : lors de sa première connexion, l’internaute doit approuver expressément le profilage. Pour cela, un lien doit lui être soumis concernant les cookies, vous devez en outre indiquer dans les mentions légales leur utilisation et leur finalité précise et informer votre interlocuteur sur la possibilité dont il dispose de s’opposer au profilage, tout en spécifiant la démarche à suivre.
- Mettre à jour ses contrats de travail : votre salarié doit être informé des types de données qui seront traitées et de la finalité des traitements, notamment en cas de suivi automatisé du temps de travail.
- Nommer un délégué à la protection des données (DPO) si besoin : il faut garder à l’esprit que la nomination d’un DPO n’est obligatoire que si votre société traite des données à grande échelle ou des données sensibles. Attention donc aux startups du big data, de l’e-santé ou de la fintech qui pourraient être plus concernées en raison de la typologie spécifique des données personnelles récoltés ou de la taille de leur fichier de données.
- Former ses équipes : le RGPD est vu comme un outil de sensibilisation de chaque professionnel à la question du traitement des données personnelles. Un document de synthèse peut être adressé à l’ensemble des salariés ou mis à disposition sur l’intranet afin de présenter le sujet à vos équipes. La mise en place de bonnes pratiques en interne devrait limiter les failles de sécurité inutiles notamment (il n’est pas rare que les salariés laissent trainer des documents comportant des données personnelles dans les bureaux).
- Mettre en place une procédure d’urgence : en cas de violation de l’intégrité des données, une procédure interne doit pouvoir être déclenchée pour que la personne concernée soit informée dans les 72 heures.
- Mettre à jour vos contrats fournisseurs : pour vous protéger, il est indispensable d’ajouter une clause aux contrats fournisseurs afin de prouver l’engagement des sous-traitants en matière de co-responsabilité.
- Sécurisez le transfert de données à l’étranger (hors UE) : plusieurs outils sont mis à la disposition des entreprises pour assurer un niveau de sécurité suffisant. Le plus simple semble toutefois d’intégrer les Clauses Contractuelles Types (CCT) adoptées par l’autorité de contrôle et approuvées par la Commission européenne et d’adopter un code de conduite (BCR – Binding Corporate Rules) comportant l’engagement contraignant et exécutoire pris par les destinataires hors UE d’appliquer les garanties appropriées.
Et surtout, gardez à l’esprit qu’en cas contrôle, la CNIL vérifiera que la société a mis en place des mesures spécifiques sur la protection des données et qu’elle peut apporter les preuves du respect du RGPD : il est donc aussi important de se mettre effectivement en conformité que de se préconstituer des preuves de cette mise à jour en documentant les démarches.
En cas de question, faites-vous accompagner par un avocat qui aura vous épauler dans cette mise en conformité tout en vous évitant toutes démarches inutiles.