The tools that make you take risks with the GDPR
EN
BLOG/Les outils du quotidien qui vous font prendre des risques avec le RGPD/

Les outils du quotidien qui vous font prendre des risques avec le RGPD

Entré en vigueur en mai 2018, le Règlement général sur la protection des données régule le traitement et la circulation des données personnelles. Dans un contexte de multiplication des services et outils numériques, ce nouveau cadre est nécessaire pour protéger les informations sensibles des individus. Toute entité collectant des données dans l’Union Européenne doit se conformer au RGPD à la lettre, sous peine d’amendes et sanctions pouvant atteindre 20 millions d’euros et 4% du CA de l’entreprise.

Saviez-vous qu’un certain nombre des outils que vous utilisez au quotidien en interne dans le cadre de la relation avec vos clients et prospects vous font prendre des risques avec le RGPD ? Quels sont ces outils matériels et immatériels dont l’utilisation est à vérifier de près pour assurer la compliance avec le RGPD ?

Votre ordinateur et votre téléphone professionnel

La compliance avec le RGPD commence avec les outils que vous utilisez sur votre lieu de travail. Il vous incombe de sensibiliser les salariés aux enjeux d’un vol ou d’une perte de matériel éventuels, et de veiller au chiffrement complexe des postes fixes et nomades afin d’éviter la fuite des données. Ainsi, il faut mettre en place des identifiants multifactoriels pour se connecter à un poste ou à une session. En cas de fuite ou vol, un signalement à la CNIL est obligatoire sous un délai de 72 heures.

Vos fichiers internes

Toute entité doit informer ses salariés du fait qu’il traite leurs données personnelles. Ainsi, l’identité de la personne en charge des données personnelles dans l’entreprise doit leur être fournie. Les salariés doivent être informés de la manière dont leurs données sont utilisées et par qui, et de la durée de conservation des informations qui les concernent. Seules les personnes en charge de la gestion administrative de l’entité et en charge des ressources humaines peuvent accéder à ces données au sein de l’entreprise. Lorsqu’un salarié quitte l’entreprise, vous n’avez pas l’autorisation de conserver ses données sine die. L’échéance se situe à 5 ans pour conserver les bulletins de salaire. Il est à noter que le consentement des salariés est implicite pour traiter leurs données personnelles dans le cadre de la gestion de la paie, du contrat de travail, et du contrôle de leur activité.

Vos fichiers clients

« Faut-il brûler son fichier client ? », demandait de manière provocante un journaliste des Échos en 2018, au moment de l’entrée en vigueur du RGPD. Si la réponse heureusement est non, il convient d’être prudent et rigoureux dans leur mise en compliance et d’être prêt en effet à effacer un certain nombre de données que vous conservez depuis trop longtemps. Il va s’agir de recueillir le consentement des personnes qui ne vous l’ont jamais donné explicitement. Si vous pouvez vous passer en principe du consentement, pour ceux de vos clients travaillant dans un secteur professionnel en lien étroit avec les services que vous proposez (on parle de fichier « qualifié »), il vaut mieux toujours le demander. Passés 3 ans, supprimez les informations de vos clients « silencieux ». Si vous commercialisez des services, informez-les de l’usage qui sera fait de leurs données. Il serait judicieux d’insérer un paragraphe une rubrique « Protection des données », clair et compréhensible, dans vos conditions générales de vente.

Vos outils d’emailing et newsletter

Vous avez l’habitude ou souhaiter contacter prospects et clients par mail ? Pour respecter le RGPD vous devez avoir obtenu préalablement leur clair consentement – silence ou absence de réponse ne valant pas. Recommandé, le « double opt-in » permet d’entériner l’accord dans la mesure où vos contacts acceptent à deux reprises de recevoir de vos nouvelles. Qui plus est, en cas de contrôle vous devez conserver la preuve de l’accord donné par vos clients et prospects. Dans tous vos liens de campagne email, vous devez offrir la possibilité à vos utilisateurs de se désabonner. Enfin, il s’agit d’informer, pour permettre à vos contacts de faire valoir leurs droits.

Votre site internet

Toute entité a besoin de visibilité et existe sur l’internet. Veillez bien à la compliance de votre site au moment de sa création ou lors de sa refonte. Il s’agit ainsi et obligatoirement, même pour un site vitrine minimal de faire figurer les mentions légales pour identifier l’éditeur de votre site, et d’obtenir l’accord des internautes pour être tracés, si votre site analyse leur navigation et leurs modes de consultation et de navigation. Dans le cas d’un site marchand, les obligations sont plus nombreuses et vous devez veiller à sécuriser selon le protocole https toutes les pages de votre site.

Votre cloud

Le cloud computing est considéré par le RGPD comme un acte de « sous-traitance ». Vous devez être capable d’indiquer si les données personnelles traitées sont transférées vers un autre pays, et le cas échéant, lequel. Dans ce second cas, votre sous-traitant – soit l’entité mettant à disposition son « cloud » - doit être pouvoir donner la preuve que des garanties appropriées ont été mises en œuvre, en conformité avec le RGPD. Des précautions sont donc à prendre en œuvre au moment de choisir son cloud.

La vidéo-surveillance dans vos locaux

En particulier dans les PME importantes et grands groupes et pour les entités produisant des services financiers ou travaillant sur des sujets high tech, des systèmes de vidéo-surveillance sont souvent installés dans les locaux. Pour respecter les recommandations de la CNIL et le RGPD, il faudra bien être attentif à ne pas filmer les employés dans certaines situations. Ainsi, il n’est pas autorisé de filmer les employés à leur poste de travail, à moins qu’ils ne manipulent de l’argent. Les locaux destinés destinés à la pause, les toilettes, ainsi que les locaux syndicaux devront être expurgés de leur système de vidéo-surveillance. En outre, il incombe à l’employeur d’informer les salariés et visiteurs éventuels de la présence de caméras sur les lieux de travail, ainsi que de la durée de conservation des images filmées, et de la possibilité d’adresser une réclamation à la CNIL.

Plusieurs outils du quotidien sont donc sensibles. Il incombe aux dirigeants d’entreprise d’être très scrupuleux à cet égard, et de veiller à l’information, à la sensibilisation, à la protection des données tant de leurs salariés que de leurs clients et prospects. Cela a pour conséquence d’une part la mise à jour et à refonte le cas échéant de vos outils numériques et d’une partie du système d’information. D’autre part, il importe de veiller à la compliance des plateformes et outils utilisés en sous-traitance. Cela n’est pas toujours évident. Une solution SaaS (Software as a Service) d’automatisation et de pilotage des tâches administratives comme alf présente l’avantage conçu suivant un « RGPD by design » et suit les recommandations de la CNIL.

EN
BLOG/The tools that make you take risks with the GDPR/

The tools that make you take risks with the GDPR

Entered into force in May 2018, the General Data Protection Regulation regulates the processing and circulation of personal data. In a context of multiplication of digital services and tools, this new framework is necessary to protect the sensitive information of individuals. Any entity collecting data in the European Union must comply with the GDPR to the letter, under penalty of fines and penalties of up to 20 million euros and 4% of the company's turnover.

Did you know that a number of the tools you use on a daily basis internally as part of the relationship with your customers and prospects make you take risks with the RGPD? What are these tangible and intangible tools whose use should be closely checked to ensure compliance with the GDPR?

Your computer and your corporate phone

Compliance with the GDPR begins with the tools you use at your workplace. It is your responsibility to educate employees on the issues of potential theft or loss of material, and to ensure the complex encryption of fixed and nomadic stations to avoid data leakage. Thus, it is necessary to set up multifactorial identifiers to connect to a position or a session. In case of flight or theft, a report to the CNIL is mandatory within 72 hours.

Your internal files

Any entity must inform its employees that it processes their personal data. Thus, the identity of the person in charge of personal data in the company must be provided to them. Employees must be informed of how their data is used and by whom, and how long the information about them is kept. Only the people in charge of the administrative management of the entity and in charge of human resources can access this data within the company. When an employee leaves the company, you do not have permission to keep his data sine die. The deadline is five years to keep pay slips. It should be noted that employee consent is implicit in the processing of their personal data in the context of payroll management, the employment contract and the control of their activity.

Your client files

"Should I burn my client file? Asked the Échos reporter in a provocative way in 2018, when the GDPR came into effect. If the answer is thankfully no, you should be cautious and rigorous in their compliance and be prepared to erase a certain amount of data that you have been keeping for too long. It's going to be getting the consent of people who have never given it to you explicitly. If you can do without consent in principle, for those of your customers working in a professional sector closely related to the services you offer (we speak of "qualified" file), it is always better to ask. After 3 years, delete the information from your "silent" customers. If you market services, let them know how their data will be used. It would be a good idea to insert a paragraph "Data protection", clear and understandable, in your general conditions of sale.

Your emailing tools and newsletter

Do you have a habit or wish to contact prospects and customers by mail? To comply with the GDPR you must have previously obtained their clear consent - silence or no response is not considered as a clear consent. Recommended, the "double opt-in" allows to ratify the agreement to the extent that your contacts agree twice to receive your news. Moreover, in case of control you must keep the proof of the agreement given by your customers and prospects. In all your email campaign links, you must provide the opportunity for your users to unsubscribe. Finally, it is about informing, to allow your contacts to assert their rights.

Your website

Any entity needs visibility and exists on the internet . Make sure that your website is compliant when it is created or when it is redesigned. This is and necessarily, even for a minimal showcase website to include the legal notice to identify the publisher of your website, and to obtain the consent of Internet users to be traced, if your site analyzes their navigation and their modes of consultation and navigation. In the case of a commercial site, the obligations are more numerous and you must make sure to secure all pages of your site according to the https protocol.

Your cloud

Cloud computing is considered by the GDPR as an act of "outsourcing". You must be able to indicate if the personal data processed are transferred to another country, and if so, which one. In this second case, your subcontractor - the entity making available its "cloud" - must be able to demonstrate that appropriate safeguards have been implemented in accordance with the GDPR. Precautions must be taken when choosing your cloud.

Video surveillance at your premises

Especially in large and large corporations and for entities producing financial services or working on high-tech topics, video systems -surveillance are often installed in the premises. To respect the recommendations of the CNIL and the GDPR, we must be careful not to film employees in certain situations. Thus, it is not allowed to film employees at their workstation unless they handle money. The premises intended for the break, the toilets, as well as the trade union premises will have to be expurgated from their video-surveillance system. In addition, it is the responsibility of the employer to inform employees and potential visitors of the presence of cameras in the workplace, as well as the storage life of the filmed images, and the possibility of submitting a complaint to the company. CNIL.

Many everyday tools are therefore sensitive. It is up to business leaders to be very scrupulous in this regard, and to ensure the information, awareness, data protection of both their employees and their customers and prospects. This has the consequence of updating and, if necessary, redesigning your digital tools and part of the information system. On the other hand, it is important to ensure the compliance of the platforms and tools used in subcontracting. This is not always obvious. A SaaS solution (Software as a Service) for automation and management of administrative tasks like alf has the advantage designed according to a "GDPR by design" and follows the recommendations of the CNIL.