Cinq conseils pratiques pour que votre organisation se conforme au RGPD

En tant qu’employeur, vous disposez de toutes sortes de données personnelles relatives à vos travailleurs, clients et fournisseurs. Le Règlement général sur la protection des données (RGPD) encadre la collecte, l’utilisation et la protection des données personnelles.

Toute violation de ce règlement peut mener à de lourdes sanctions : il y a quelques mois, une PME a reçu une amende de 15 000 € pour avoir clôturé trop tard les adresses e-mail d’anciens travailleurs. De plus, le coronavirus est source de défis supplémentaires en matière de RGPD.

Ces cinq conseils vous aideront à éviter les amendes :

Conserver un récapitulatif de toutes les données personnelles que traite votre entreprise n’est pas une sinécure. Le RGPD exige toutefois de la transparence. Un registre de traitement peut donc vous aider. Ce registre décrit les données personnelles que vous collectez et traitez, ainsi que l’objectif du traitement et sa base juridique. Ne reprenez pas que les données de vos collaborateurs dans le registre, pensez également à celles de vos clients et de vos fournisseurs.

La règle fondamentale du RGPD est très simple : vous ne pouvez pas collecter et traiter toutes les données personnelles sans raison. Vous ne pouvez le faire que si vous prouvez que vous disposez de l’une des quatre bases juridiques suivantes :

• vous devez traiter certaines données parce qu’elles sont nécessaires à l’exécution d’un contrat avec la personne concernée ;
• la loi vous oblige ou vous autorise explicitement à traiter des données personnelles ;
• vous avez un « intérêt légitime » à traiter des données, votre intérêt étant en équilibre avec la violation de la vie privée de la personne concernée ;
• vous avez demandé et obtenu de la personne concernée son consentement pour traiter les données.

Le principe de base est que les données personnelles ne peuvent pas être conservées plus longtemps que nécessaire. Vous devez donc évaluer au cas par cas combien de temps précisément les données doivent être conservées en fonction des activités de traitement. Il s’agit d’un exercice important, qui vous force à réfléchir à comment supprimer les données de votre système une fois le délai écoulé.

La transparence implique que vous informiez vos collaborateurs sur le traitement de leurs données personnelles. Regroupez de préférence ces informations dans une « politique de confidentialité » par laquelle vous informez vos collaborateurs de la nature des données personnelles que vous collectez, de la finalité et du fondement du traitement. La durée de conservation et les droits de vos collaborateurs doivent également être repris dans ce document.

Par ailleurs, il peut également être intéressant de mettre au point de nouvelles politiques, comme un code de conduite dans lequel vous décrivez qui peut traiter les données personnelles de clients, de fournisseurs et d’autres parties prenantes, comment s’y prendre et quelles sont les sanctions en cas de non-respect. Vous pouvez aussi mettre en place une politique en matière d’Internet et d’e-mails convenant des règles régissant l’utilisation des boîtes mail et leur suppression après la sortie de service, afin d’éviter les amendes décrites ci-dessus. Désignez éventuellement une personne de contact RGPD, vers laquelle vos collaborateurs peuvent se tourner en cas de question ou d’inquiétude.