Article écrit en collaboration avec les experts LPD Araucaria
Gérer les données personnelles au sein de votre entreprise n’est pas une démarche à prendre à la légère, autant par son caractère d’obligation légale et des risques encourus, que pour les changements positifs que cela peut apporter au fonctionnement de votre structure.
Dans notre précédent article, nous avons présenté les grands principes de la Loi de Protection des Données. Nous vous conseillons de le lire avant d’entamer la phase plus PRATIQUE que nous vous proposons ici.
Pour vous convaincre, s’il en est besoin, de la nécessité d’entamer la démarche de mise en conformité de votre entreprise dans sa gestion des données personnelles, nous prendrons la posture du « mauvais élève » pour déconstruire vos idées reçues et traquer vos mauvaises habitudes. Nous tenterons de proposer à la place une vision différente de la protection des données personnelles, celle d’une rigueur apportant plus d’efficacité et d’un terrain d’opportunités. Au travail !
FAUX. Toutes les entreprises sont concernées, même les plus petites, et les obligations légales s’appliquent de la même manière quelle que soit la taille de l’entreprise. Une entreprise qui a des salariés gère des données personnelles. Votre fichier client contient des données personnelles. Vous avez des caméras de sécurité dans vos locaux, vous collectez des images de personnes physiques qui sont des données personnelles. Votre carnet d’adresses est plein de données personnelles… La question n’est donc pas de savoir si votre entreprise conserve des données personnelles (la réponse étant toujours OUI !) mais plutôt OÙ sont-elles ?
À VÉRIFIER. Parce que votre entreprise est toute petite, vous pensez que le faible volume de données que vous gérez vous met à l’abri d’un travail de conformité. La taille de l’entreprise n’est pas proportionnelle au volume des données, en particulier pour les entreprises du numérique. S’il est vrai qu’une activité plus « traditionnelle » minimise le besoin et la gestion de données, il convient toutefois d’être vigilant notamment sur la conservation de celles-ci.
PAS FORCÉMENT. Il est tout d’abord très difficile aujourd’hui de se dispenser de l’outil numérique, ne serait-ce que par l’usage d’un smartphone. Votre répertoire de contacts est une manne de données personnelles. Quid en cas de vol ou de perte ? Outre ce type d’incident, la gestion papier est elle aussi soumise à la LPD. Pouvez-vous garantir que l’accès à vos fichiers est restreint aux personnes autorisées ? Assurez-vous une veille pour détruire les données anciennes devenues inutiles ?
Si la mise en conformité d’une entreprise qui a un faible volume de données est certes plus facile à assurer, cela ne dispense ni d’une vigilance concernant leur protection (conservation sécurisée) ni d’une bonne connaissance des obligations. En effet, la prise de conscience individuelle sur la diffusion des données personnelles va croissante. Pour les entreprises, il convient de permettre le droit d’accès, de modification et de retrait dans les délais légaux impartis. Une gestion efficiente des données personnelles au sein de l’entreprise permet de répondre efficacement à ce type de demande.
Une RH trop consciencieuse ou tatillonne, un service marketing un peu curieux, et voilà votre entreprise submergée de données qui, en plus d’être en partie inutiles, vous font risquer l’illégalité.
Exemples : Votre RH aime bien connaître ses équipes. Elle constitue un fichier de petites informations personnelles, comme le prénom des enfants et leur date de naissance, des remarques sur les habitudes des salariés. Même si l’intention de départ est bonne, ces informations, si elles ont été collectées sans consentement, sans finalité définie, sont illégales !
Votre service marketing met en place un questionnaire de satisfaction client un peu trop détaillé et n’utilise que partiellement les données. Quid des données inutilisées qui restent conservées ?
Et dans ces deux cas de figure, que se passe-t-il si vos données tombent entre de mauvaises mains (piratage, collaborateur mal intentionné…) ?
Les grands principes de la LPD visent donc à cadrer notre propension au « mieux vaut trop que pas assez ». La collecte de données personnelles doit être limitée à une FINALITÉ clairement définie et être PROPORTIONNELLE à cet objectif.
Les données personnes se diffusent plus ou moins consciemment au sein de l’entreprise. Faute d’une gestion centralisée de données, les fichiers sont partagés, copiés par vos collaborateurs. Différentes versions d’un même document peuvent être conservées. Ces partages nuisent à la traçabilité des informations et représentent autant de brèches à la sécurité des données.
Il convient donc de limiter la diffusion des données personnelles, d’autant plus si elles sont sensibles, au sein de l’entreprise. Cela passe par l’utilisation d’outils informatiques qui centralisent et sécurisent les données mais aussi la mise en place de protocoles dans la communication interne. Cette prise de conscience de la circulation de données personnelles incombe à l’ensemble des salariés, qui doivent être sensibilisés et formés à la problématique. Halte aux mauvaises habitudes, place à des méthodes et outils qui améliorent la sécurité autant que l’efficacité.
Dans le cadre de votre activité, vous faites appel à des prestataires extérieurs avec qui vous êtes sûrement amenés à partager des données personnelles. Connaissez-vous leur degré de vigilance et leurs protocoles de sécurité en matière de gestion de données ? Vous pouvez mener la politique la plus exemplaire en la matière au sein de votre entreprise, si vous n’exigez pas la même rigueur de la part de vos prestaires, vos données personnelles ne sont pas en sécurité. Outre la question de la sécurisation des données d’un point de vue technologique (partage sécurisé de données numériques), c’est aussi la question juridique qui peut être posée lorsque vos prestataires n’ont pas les mêmes obligations légales que vous, lorsqu’ils sont basés à l’étranger.
Prendre conscience de ses mauvaises habitudes est le premier pas vers un usage plus conforme de la donnée personnelle. Il est temps de mettre tout cela en pratique.
Vous l’aurez compris, la première étape sur le chemin de la conformité est de localiser les données personnelles au sein de l’entreprise. Cette étape peut être faite en interne, moyennant du temps dédié à la mission et du personnel formé ou a minima sensibilisé à la question de la donnée personnelle.
Vous pouvez aussi choisir de confier cette mission à un tiers, un expert de la protection des données. Ingesco fait confiance à Araucaria.
Vous réalisez une première cartographie du cycle de vie de la donnée dans l’entreprise, en vous posant notamment les questions suivantes :
1. Qui collecte des données ?
2. Qui et comment sont-elles utilisées ?
3. Qui y a accès en interne ? Qui sont les prestataires avec qui je partage de la donnée ?
4. Où sont-elles stockées « physiquement » ?
5. Combien de temps la donnée personnelle est-elle conservée ?
L’ampleur de la tâche variera d’une organisation à une autre. Pour une PME cela peut s’avérer un travail plus ou moins complexe. Cette démarche vous conduit à mettre en place une véritable politique de gestion des données qu’il faudra traduire en protocoles concrètement appliqués au quotidien, car pendant que vous lisez cet article, vos collaborateurs collectent sûrement de nouvelles données personnelles.
La protection des données au sein de l’entreprise est bel et bien l’affaire de tous, autant pour les données qu’ils manipulent, que pour leurs propres données personnelles. Sensibiliser vos collaborateurs à la question grâce à des sessions de formations, des activités ludiques et autres Kick-off meetings notamment proposés par Araucaria permet de solliciter l’attention et la coopération de vos salariés. Pensez également à partager cette vision avec chaque nouveau talent que vous recrutez.
Cette vigilance quasi de chaque instant va peu à peu devenir un automatisme pour vos équipes une fois que les BONNES habitudes seront prises.
Si la conformité reste votre objectif, le chemin qui y mène est lui aussi crucial. Le principe de transparence édicté dans la LPD contribue à vous guider.
Votre premier pas en matière de protection des données est souvent la notice de confidentialité de votre site Internet. La rédaction de celle-ci doit être le reflet de votre démarche globale. Vos clients, vos prestataires doivent savoir comment vous gérez vos données, comment vous les utilisez, la vigilance que vous apportez à leur protection.
Une fois la communication mise en place, il faut aussi permettre à chacun d’exercer son droit d’accès. Pour rappel, ce type de demande doit obtenir une réponse dans les 30 jours.
En matière de conservation des données, un point souvent négligé est le délai de conservation. Vos archives regorgent de données qui ne sont plus utiles pour l’entreprise. Pourtant elles vous font courir le risque de non-conformité. Aussi il est nécessaire de définir un délai de conservation de la donnée. Au-delà de ce délai, la donnée doit être détruite. Il convient pour ce faire de mettre en place des protocoles réguliers de révision des bases de données, en ayant préalablement pris la précaution bien sûr de préciser la date de collecte.
Pour rester le plus proche possible d’une utilisation conforme des données personnelles, il convient donc de se débarrasser (ne pas collecter ou détruire) des données inutiles. En dehors des délais de conservation légalement imposés, notamment en matière fiscale, pensez à alléger vos archives, faire du vide régulièrement dans vos emails et à nettoyer vos disques durs de documents que vous ne consulterez sûrement plus jamais. En plus, c’est bon pour la planète !
Pour parfaire vos protocoles de mise en conformité, quelques astuces d’experts !
À l’heure où pléthore de solutions IT, gratuites ou payantes, sont à votre disposition, LIMITEZ vos usages et choisissez bien vos outils. Visioconférence, transfert de fichiers, gestion de mot de passe… au sein de l’entreprise définissez un choix restreint d’outils à l’usage de vos collaborateurs. La multiplication des outils est un risque de dispersion de l’information et de faille de sécurité informatique.
Vérifiez la rigueur de vos prestataires dans leurs gestions des données. Vous avez pour obligation légale de contractualiser les modalités d’échange d’informations personnelles avec vos sous-traitants et de veiller au respect des protocoles de sécurité, d’autant plus lorsque vos données quittent le territoire suisse.
Données médicales, informations à caractère religieux ou politique, en plus d’être collectés avec la plus grande prudence doivent faire l’objet d’une sécurisation accrue et d’un strict respect des protocoles légaux.
En cas de contrôle de conformité ou d’incident de sécurité (piratage, fuite de données), il conviendra de prouver que tous les efforts nécessaires ont été faits dans la protection des données personnelles.
Formalisation des protocoles, formation et sensibilisation régulière des collaborateurs, contrats avec les prestataires, sont autant de preuves à apporter de votre vigilance et de votre bonne foi. Conservez donc des traces écrites de vos actions en matière de protection des données personnelles.
Vous pouvez également désigner un Conseiller à la Protection des Données, distinct des organes décisionnels de l’entreprise, qui sera le garant de la bonne exécution de votre politique de gestion.
La protection des données personnelles ne vise pas à devenir un obstacle à l’activité des entreprises. La nécessaire prise de conscience de leur caractère sensible doit plutôt encourager les organisations à plus de rigueur dans leurs process pour gagner en efficacité autant qu’en fiabilité.
Mettre en place une politique de gestion des données personnelles au sein de l’entreprise n’est pas qu’une obligation légale. Vous pouvez la transformer en opportunité de :
Accorder davantage de vigilance dans le traitement de leurs données personnelles témoigne d’une meilleure considération de vos salariés. Les informer sur leurs droits d’accès, les inciter à plus de vigilance sur leurs propres données, autant que sur celles de vos clients, replace l’humain, la réalité de nos vies au cœur de l’attention.
Cette attention particulière opère de la même façon pour vos clients, qui se sentent davantage considérés. Ils ne sont pas des numéros. Vous prenez conscience qu’ils partagent, à travers leurs informations, une part de leur vie privée. À ce titre, vous leur témoignez votre sérieux et les remerciez de la confiance qu’ils vous accordent. En agissant en transparence et en donnant droit d’accès, vous entrez dans un véritable échange, une relation avec vos clients qui dépasse le cadre purement commercial.
De plus en plus, votre fiabilité en matière de protection des données personnelles deviendra un critère réputationnel scruté par vos clients et prestataires. Il n’est pas rare aujourd’hui de voir des partenariats interrompus ou des marchés non accordés faute d’une fiabilité, d’une rigueur dans la protection des données.
Prendre en main sa conformité à la LPD c’est ainsi montrer le sérieux de l’entreprise, un critère qui impacte directement le développement de votre activité et votre positionnement sur le marché, presque autant que votre solidité financière ou la qualité de vos produits ou prestations.
La protection des données personnelles est un enjeu central de notre ère numérique. La normalisation des process imposée par la loi, si elle est un véritable effort de traçage et d’analyse pour les entreprises, est aussi un virage incontournable pour le développement de l’activité et l’occasion d’un changement de positionnement bénéfique dans l’écosystème de l’entreprise.
Dans la pratique, cette rigueur nouvelle participe à votre efficience. Si l’ampleur de la tâche vous décourage, n’hésitez pas à vous faire accompagner par un expert.
