Ainsi, même une société établie en France qui exporte l’ensemble de ses produits en dehors de l’Union européenne doit respecter le RGPD.
En France, la CNIL propose un guide de sensibilisation au RGPD pour les petites et moyennes entreprises
Les actions à mener pour être en règle
Avec le RGPD, toute entreprise doit accomplir 4 actions principales :
- Recenser ses fichiers ;
- Faire le tri dans ses données ;
- Respecter les droits des personnes (accès, rectification, opposition…) ;
- Sécuriser les données.
Les 6 bons réflexes de la protection des données personnelles
Dans son Guide, la CNIL énumère les bons réflexes:
1.Ne collectez que les données vraiment nécessaires.
Posez-vous les bonnes questions : Quel est mon objectif ?
Quelles données sont indispensables pour atteindre cet objectif ? Ai-je le droit de collecter ces données ?
Est-ce pertinent ? Les personnes concernées sont-elles d’accord ?
2.Soyez transparent
Une information claire et complète constitue le socle du contrat de confiance qui vous lie avec les personnes dont vous traitez les données.
- Pensez aux droits des personnes
Vous devez répondre dans les meilleurs délais, aux demandes de consultation, de rectification ou de suppression des données. - Gardez la maîtrise de vos données
Le partage et la circulation des données personnelles doivent être encadrées et contractualisées, afin de leur assurer une protection à tout moment. - Identifiez les risques
Vous traitez énormément de données, ou bien des données sensibles ou avez des activités ayant des conséquences particulières pour les personnes, des mesures spécifiques peuvent s’appliquer. - Sécurisez vos données
Les mesures de sécurité, informatique mais aussi physique, doivent être adaptées en fonction de la sensibilité des données et des risques qui pèsent sur les personnes en cas d’incident.
Désigner un responsable de la donnée
Au sein de votre commerce, qui s’occupe du recueil et du traitement des fichiers clients, fournisseurs, prospects, et a donc accès aux données ? Est-ce vous-même, un associé, un vendeur ou une vendeuse, un webmaster externe ? Vous devez vous poser ces questions et dans certains cas, vous pourrez être conduits à désigner un délégué à la protection des données. Cette désignation est obligatoire pour certaines entreprises opérant des traitements à grande échelle présentant des risques particuliers. Dans les autres cas, la désignation d’un délégué est recommandée notamment si votre activité vous impose de mener une analyse approfondie du RGPD.
Ouvrir et tenir à jour un registre d'activité des traitements
Ce registre des vos traitements sera la « bible » de votre conformité au RGPD.
Il vous permettra d’avoir une vision d’ensemble sur vos traitements de données personnelles. Une fiche créée pour chaque activité recensée indiquera :
- l’objectif poursuivi (la finalité – exemple : la fidélisation client) ;
- les catégories de données utilisées (exemple pour la paie : nom, prénom, date de naissance, salaire, etc.) ;
- qui a accès aux données (le destinataire – exemple : service chargé du recrutement, service informatique, direction, prestataires, partenaires, hébergeurs) ;
- la durée de conservation de ces données (durée durant laquelle les données sont utiles d’un point de vue opérationnel, et durée de conservation en archive).
Le registre des traitements doit être tenu à jour sous forme écrite, papier ou électronique, et doit pouvoir être produit en cas de contrôle (article 30 du RGPD).