Sensibilisation au RGPD et cyber secure d’AXA

Le RGPD = Le Règlement Général pour la Protection des Données.

Depuis le 25 mai 2018 la législation européenne nous impose de protéger l’ensemble des données personnelles concernant nos clients et prospects, tels que mails, téléphones et données sensibles.

Ces 4 lettres et les obligations créées via Bruxelles ont généré beaucoup de stress et d’interrogations auprès des entreprises et cette nébuleuse et son application continuent d’alimenter tous les fantasmes et les inquiétudes.

Quelles obligations ? sur quelles informations et données ? sous quelles formes doivent être protégées ces données et jusqu’où aller dans cette protection ? quelles procédures internes ou externes mettre en œuvre pour l’application de cette norme ? Quels risques et quelles sanctions ?

Dans ce cadre-là, CLYCO souhaite vous apporter de l’information dans un but PRATIQUE PRÉVENTIF et CURATIF :

L’idée au travers de cette article est de vous donner les pistes et les clefs pour une mise en application concrète de cette norme.

Le RGPD au quotidien dans les PME, cela consiste en quoi ?

En introduction, pour rappel les données à caractère personnel correspondent à toute information permettant d’identifier une personne physique, directement ou indirectement.

La durée de conservation des données est limitée en fonction de votre objectif et de la nécessité de les détenir pour exercer votre activité. Une fois cet objectif atteint, ces données sont archivées (en fonction de la durée de détention réglementaire), supprimées ou anonymisées (stats).

Il est important de noter que les données visées ne concernent donc que les données personnelles et ne concernent pas les données professionnelles. Ainsi, une réponse de la part d’un prospect sur un questionnaire n’entraînera aucun besoin de protection si le mail indiqué par ce prospect est professionnel (p.durant@société-tartempion.com) alors même que cette obligation prend forme si le mail indiqué est personnel (p.durant@gmail.com).

Une fois ces données à protéger, identifier, combien de temps doivent-elles être conservées et protégées ?

Exemple de durée de détention :

✓ Pour une vidéo-surveillance : 1 mois ;

✓ Pour un dossier médical après consolidation du dommage : 10 ans ;

✓ Pour les coordonnées d’un prospect : 3 ans ;

✓ Pour la protection des données personnelles des salariés (contrat de travail, CNI, RIB, carte grise des véhicules…) elles doivent au sein de l’entreprise être protégées et être codées si informatiques ou sous clé pour la détention physique. Ainsi, si le salarié quitte la société, l’entreprise doit procéder à la suppression et destruction obligatoires de toutes ses données (messagerie, disque dur de son ordinateur) à l’exception des bulletins de paie.

Le Rôle de la CNIL ?

La CNIL = Commission Nationale de l’Informatique et des Libertés.

La CNIL a un rôle, notamment de contrôle et de sanction.

En cas de plainte, de délation d’un confrère ou de cyber-risque, la CNIL devra vérifier et elle partira du principe de votre bonne foi. Elle cherchera en priorité à savoir si vous pouvez démontrer votre souci au quotidien de protéger les données (archives papier également) que ce soit en version papier ou via vos systèmes informatiques. Car nous sommes tous bien conscients qu’aucun système de protection n’est à ce jour infaillible.

Votre participation à cette sensibilisation à la mise en conformité RGPD et aux cyber-risques, constitue donc votre première volonté et preuve de votre bonne foi en ce sens.

À cet effet, je voudrais démystifier cette exigence de mise en conformité qui, finalement, n’est que l’application de procédures de bonne conduite et de respect de la vie d’autrui, par des gestes, des attitudes et des habitudes simples avec un peu d’organisation et de procédures au quotidien, comme :

✓ Acheter une broyeuse papier et détruire par ce moyen tous vos documents sortants et comportant des informations (protection des adresses, téléphones figurant sur les courriers) ;

✓ Faire contrôler régulièrement votre système informatique ;

✓ Utiliser vos drop box et cloud protégés ;

✓ Établir un registre de suivi des données personnelles que l’on vous confie (liste des entrées et où elles sont stockées ? qui y a accès ? Quand et comment vous effacez de vos logiciels ces données ? sur demande du client et sous quelle forme ?) ;

✓ Écrire et enrichir constamment votre document dans lequel vous expliquez ce que vous mettez en place ;

✓ Détailler comment vous organisez la portabilité des données que le client vous adresse, la manière de les transmettre à un confrère ou de les restituer au client ;

✓ Penser à travailler hors connexion sur votre PC portable quand vous êtes hors zones non protégées tels que les trains, aéroports, restaurants…

✓ Mettre un cache sur votre écran qui vous permettra de travailler et de ne pas être lu par les personnes avoisinantes ;

✓ Sensibiliser votre personnel au sein de votre société aux démarches RGPD car 1/3 des risques viennent de l’intérieur, y compris pour vos stagiaires et partenaires, en n’utilisant pas de clé USB, wifi, Bluetooth non sécurisé et/ou personnel…

✓ Faire la demande auprès de vos prestataires concernés sur leur démarches RGPD et confirmation de leur mise aux normes RGPD via un mail ou courrier à conserver dans vos procédures en cas de contrôle (prestataire informatique, CRM, etc.) ;

✓ Enfin, on ne parle pas business dans des lieux publics…

✓ Concernant vos contrats types, faire appel à un avocat spécialisé pour leur rédaction pour intégrer une référence aux procédures RGPD ;

✓ Faire une sauvegarde externe de vos disques durs, qui vous permettra de poursuivre votre activité en cas de cyber-attaque.

Toutes ces petites procédures vous permettront de faire preuve vis-à-vis de la CNIL d’une volonté de protéger vos clients et prospects.

Enfin, vous avez l’obligation de désigner un Délégué aux Données Personnelles pour les entreprises à partir de 250 salariés.

DPD ou DPO = Data Protection Officer.

Pour aller plus loin et protéger la pérennité de votre société, concernant les cyber-risques et la manière de protéger vos bénéfices en anticipant sur la gestion de crise, je vous encourage par ailleurs vivement à faire un tour sur le site de la CNIL (https://www.cnil.fr/) et ANSSI (https://www.ssi.gouv.fr/).

ANSSI = Agence Nationale Sécurité des Systèmes Informatiques.

Je ne doute pas que cette présentation vous aura permis de prendre conscience de l’importance de tout mettre en œuvre pour appliquer cette nouvelle réglementation et sécuriser votre société sur le plan financier.

Et je reste à votre disposition pour répondre à toutes vos questions, vous aider et vous accompagner dans la mise en place de vos procédures au sein de vos entreprises.

Barbara GODEFROY

Courtier en assurances, Dirigeante de GODEFROY-COURTAGE

▬     Site : http://www.godefroy-courtage.com/    ▬

✓   Pour contacter Barbara GODEFROY sur LinkedIn :   Contact LinkedIn de Barbara GODEFROY