La CNIL semble multiplier les contrôles au sein des entreprises et c'est normal, c'est son travail et cela fait partie de la vie d'une entreprise qui manipule des données que de subir un contrôle. Aussi, nous vous proposons quelques conseils préventifs, non exhaustifs, pour préparer en amont ce type de contrôle. Cela vous permettra d'être en règle, même si vous n'avez aucune visite.
L'article ci-dessous est inspiré de différentes sources et notamment d'un article du blog fgconseil.fr.
Les points sensibles sur la protection des données personnelles :
- La conformité des déclarations des données personnelles. Si vous disposez d'une base de données contenant des données personnelles et êtes responsables du traitement de ces données, vous devez avoir déclaré votre base de données à la CNIL. Les finalités de traitement des données personnelles (nature des données, durée de conservation, personnes concernées, destinataires des données) doivent bien sûr être précisées auprès de la CNIL. Mais surtout, elles doivent évoluer en fonction des nouveaux traitements effectués. Si vous avez déclaré votre base en 2007 à la CNIL, il est probable que la façon dont vous l'exploitez, les données que vous gérez aient beaucoup évolué. Il est nécessaire de maintenir à jour la déclaration des traitements effectués sur les données personnelles que vous possédez.
- La gestion des droits des personnes fichées. La loi informatique et libertés implique le respect de plusieurs droits pour les personnes fichées, qui sont : information, accès, opposition, rectification. Les procédures liées à ces droits doivent exister, être traçables. Ainsi, si une personne a demandé à être radiée d'une base de données, il faut être en mesure de prouver que le traitement a été effectué (traçabilité...).
- La durée de conservation des données. Ce point est sensible car, lors de la déclaration du traitement des données, il doit préciser la durée de conservation des données. Une fois celle-ci dépassée, il faut purger ces données. Il faut donc mettre en place des traitements-procédures réalisant ces purges et les tracer car, lors d'un contrôle, c'est une information souvent demandée.
- La sécurité des données. Certainement le point le plus sensible chez beaucoup d'entreprises. En résumé, il faut éviter que des données en clair et non cryptées circulent, soient stockées sur des postes de travail local, ou soient envoyées à des tiers (sans protection). Le cryptage est indispensable au regard de la loi informatique et libertés. Dans ce contexte, les mots de passe inscrits sur des post-it et collés sur les moniteurs pour accéder aux données sont fortement proscrits ;-).
- etc... car cette liste n'est pas complète…
Lors d'un non-respect de ces obligations, la CNIL vous adresse un rappel à l'ordre et si rien n'a changé lors de la prochaine visite, les sanctions peuvent être envisagées.
Pour en savoir plus, je vous conseille les guides de la CNIL qui sont très bien réalisés ou la formation sur la législation de l’emailing et des bases de données que nous organisons le 27 juin à Paris.
Maintenant que vous êtes informés voire aguerris, vous constaterez que les contrôles sont bien moins graves que les contrôles URSSAF ;-).
Vous souhaitez en savoir plus sur le sujet, découvrez comment sur notre site :
Commentaires