Données personnelles : comment les gérer dans Flexio (RGPD)

Dans le cadre du traitement de vos données, nous souhaitons vous partager les bases du règlement général sur la protection des données de la CNIL.

Qu’est ce qu’une donnée personnelle ?

Est une donnée personnelle, toute information relative à une personne physique identifiée ou identifiable, directement ou indirectement.

L’identification d’une personne physique peut être faite : 

• à partir d’une seule donnée (ex : n° sécurité sociale, n° client, ADN)

• à partir du croisement de plusieurs données (ex : un homme vivant à une adresse défini, né le …, abonnée à tel club de sport).

Qu’est ce qu’un traitement de données personnelles ?

Un traitement de données personnelles est une ou plusieurs opérations, portant sur des données personnelles, quel que soit le procédé utilisé (Saisie, formulaire numérique, extraction, consultation, utilisation, communication par transmission diffusion etc…).

(ex : Fichier clients, coordonnées de prospects via un questionnaire, mise à jour d’une CVthèque, etc.)

Un traitement de données doit avoir un objectif, une finalité : 

Vous ne pouvez pas collecter ou traiter des données personnelles
simplement au cas où cela vous serait utile un jour.

À chaque traitement de données doit être assigné un but légal et légitime au regard de votre activité professionnelle.

4 actions à mener pour entamer votre mise en conformité RGPD :

1. Recensez vos fichiers

Identifiez les activités principales de votre entreprise qui nécessitent la collecte et le traitement de données. 

Précisez :

• l’objectif poursuivi,

• les catégories de données utilisées,

• qui a accès aux données (ex : RH, IT, direction, prestataires, hébergeurs…),

• la durée de conservation de ces données.

2. Faites le tri dans vos données

Vérifiez : 

• que les données traitées sont indispensables à vos activités (ex : il n’est pas utile de savoir si vos salariés ont des enfants, s’il n’y a aucun service ou rémunération attachée à cette caractéristique),

• que vous ne traitez aucune donnée dite “sensible” (origine raciale ou ethnique, opinions politiques, convictions religieuses ou philosophiques, l’appartenance syndicale, données génétiques, biométriques, concernant la santé, concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique…)
cf : https://www.cnil.fr/fr/definition/donnee-sensible,

• que les données sont uniquement accessibles aux personnes habilitées,

• que vous ne conservez pas vos données au-delà de ce qui est nécessaire.

3. Respectez les droits des personnes

Informez les personnes : 

À chaque collecte de données personnelles, le support utilisé doit comporter des mentions d’information.

Permettez aux personnes d’exercer facilement leurs droits : 

Les personnes dont vous traitez les données (clients, collaborateurs, prestataires, etc.) ont des droits d’accès, de rectification, d’opposition, d’effacement, à la portabilité et à la limitation du traitement.
Vous devez leur donner les moyens d’exercer effectivement leurs droits. 

4. Sécurisez vos données

Les mesures à prendre, informatiques ou physiques, dépendent de la sensibilité des données que vous traitez et des risques qui pèsent sur les personnes en cas d’incident. 

Différentes actions doivent être mises en place comme la mise à jour de vos antivirus et logiciels, le changement régulier des mots de passe, le chiffrement de vos données… En cas de perte ou vol d’un outil informatique, il sera plus difficile pour un tiers d’y accéder.

En résumé :
Quels sont les grands principes des règles de protection des données personnelles ?

  1. Le principe de finalité : le responsable d’un fichier ne peut enregistrer et utiliser des informations sur des personnes physiques que dans un but bien précis, légal et légitime,
  1. Le principe de proportionnalité et de pertinence : les informations enregistrées doivent être pertinentes et strictement nécessaires au regard de la finalité du fichier,
  1. Le principe d’une durée de conservation limitée : il n’est pas possible de conserver des informations sur des personnes physiques dans un fichier pour une durée indéfinie. Une durée de conservation précise doit être fixée, en fonction du type d’information enregistrée et de la finalité du fichier, 
  1. Le principe de sécurité et de confidentialité : le responsable du fichier doit garantir la sécurité des informations qu’il détient. Il doit en particulier veiller à ce que seules les personnes autorisées aient accès à ces informations, 
  1. Les droits des personnes : les personnes doivent avoir accès aux données personnelles qui sont collectées et traitées à leur sujet. L’entreprise détentrice de données personnelles doit envoyer sous un format lisible et ouvert l’ensemble des données détenues sur la personne.

Retrouvez toutes les informations précises concernant le RGPD sur le site officiel de la CNIL :

https://www.cnil.fr/fr/reglement-europeen-protection-donnees

Espace d'aide et d'entraide pour digitaliser vos formulaires et automatiser vos processus