Sommaire Les données sont désormais incontournables au sein de toute entreprise de service ou de e-commerce. Les PME n’échappent pas à cette règle. Il est cependant nécessaire de gérer ces données de façon optimale, notamment dans le cadre des principes du RGPD. Quelles sont donc les bonnes pratiques à mettre en œuvre en matière de traitement de données personnellesToutes informations liées à une personne physique identifiée ou qui pourrait être identifiée via des éléments qui lui sont propres. ?
Yousign
Maximisez la sécurité avec Yousign : signatures électroniques conformes, chiffrées et faciles à intégrer.
Le RGPD, qu'est-ce que c'est ?
Le RGPD pour Règlement Général sur la Protection des Données est une réglementation qui encadre de le traitement des données personnellesToutes informations liées à une personne physique identifiée ou qui pourrait être identifiée via des éléments qui lui sont propres. dans l’ensemble de l’Union Européenne.
Il permet d’offrir un cadre juridique s’adaptant aux évolutions technologiques auxquelles fait face la société. Comme par exemple l’omniprésence du numérique dans nos vies ou encore le développement du commerce en ligne et de la transformation digitale.
Ce règlement permet concrètement aux citoyens du territoire de l’Union Européenne d’avoir un meilleur contrôle sur l’utilisation de leurs données. L’objectif recherché par le RGPD est ainsi de permettre aux professionnels de développer leurs activités numériques au sein de l’UE en se basant sur la confiance des usagers.
Comment appliquer le RGPD pour une PME de sous-traitance ?
En tant que sous-traitant, toute entreprise est alors tenue de respecter un certain nombre d’obligations relatives à la documentation, la sécurité et la confidentialité des données traitées. La finalité de protection des données personnellesToutes informations liées à une personne physique identifiée ou qui pourrait être identifiée via des éléments qui lui sont propres. doit être au cœur du développement de de leurs activités.
Le sous-traitant au sens RGPD du terme est l’entreprise « déterminant les finalités et moyens d’un traitement », selon l’article 4 dudit règlement.
Ainsi, sont concernés :
- Les prestataires de services informatiques (hébergeurs, maintenance, intégrateurs, sociétés de sécurité informatique, certains éditeurs, SSII ayant accès à des données).
- Les agences de communication et de marketing traitant des données personnellesToutes informations liées à une personne physique identifiée ou qui pourrait être identifiée via des éléments qui lui sont propres. pour le compte de leurs clients.
- De façon générale, tout organisme traitant des données personnellesToutes informations liées à une personne physique identifiée ou qui pourrait être identifiée via des éléments qui lui sont propres. pour le compte d’une autre structure.
- Y compris une organisation ou un organisme public.
La problématique de la protection des données doit donc être prise en compte dès la conception du service ou du produit fourni par le sous-traitant. La mise en place de mesures assurant la garantie d’une protection de ces données doit donc être de mise.
Les sous-traitants ont par ailleurs une obligation de conseil auprès de leur clientèle. Ils doivent intervenir et les accompagner dans la mise en œuvre des obligations relatives au règlement sur la protection des données.
À titre d’exemple, l’éditeur d’un logiciel doit permettre à ses utilisateurs de disposer d’un cadre permettant l’applicationSe dit souvent application mobile. Se télécharge à titre gratuit ou payant depuis le système d’exploitation d’un smartphone ou d’une tablette. de ce règlement. Tout comme l’hébergeur web doit proposer à ses clients de vérifier la pertinence de données conservées après un certain temps.
Les points à contrôler
Le traitement de certains types de données doit faire l’objet d’une attention particulière. C’est notamment le cas de données sensibles ou à risque, telles que :
- Des données révélant l’origine à priori raciale ou ethnique ;
- Celles portant sur les opinions politiques, religieuses ou philospohiques ;
- Les données portant sur l’appartenance syndicale ;
- Celles relatives à la santé ou à l’orientation sexuelle ;
- Les données biométriques ou génétiques.
Il convient en outre d’être vigilant lorsque le traitement des données a l’une des finalités suivantes :
- L’évaluation d’une personne lorsque cela implique des aspects personnels de sa vie (scoring d’octroi de crédit par exemple) ;
- La prise de décision automatisée s’appuyant sur des données personnellesToutes informations liées à une personne physique identifiée ou qui pourrait être identifiée via des éléments qui lui sont propres. ou ayant pour conséquences des effets légaux ;
- La surveillance automatique et systématique des personnes (vidéosurveillance) ;
- La manipulation de données sensibles (données biométriques, génétiques, santé, etc.) ;
- Le traitement de données impliquant des personnes vulnérables telles que les mineurs ;
- Le traitement de données à grande échelle ;
- Le croisement de données et de fichiers de données personnellesToutes informations liées à une personne physique identifiée ou qui pourrait être identifiée via des éléments qui lui sont propres. ;
- L’établissement de listes noires (abonnements, mauvais payeurs, etc.) ;
- La mise en œuvre d’objets innovants comme les objets connectés.
Trouvez en moins de 5 minutes le logiciel qui convient à vos besoins !
Chouette, non ?
