Dans moins d’un mois, le Règlement Général sur la Protection des Données (RGPD) entrera en vigueur dans tous les pays de l’Union Européenne, instaurant pour les entreprises de toutes tailles des restrictions dans l’utilisation et le traitement des données personnelles de leurs clients, prospects et salariés.

Toutes les entreprises doivent s’y préparer. La société Sage a identifié 10 actions courantes qui devront faire l’objet d’une attention particulière à partir du 25 mai prochain.

1. Célébrer l'anniversaire d'un collègue

La date de naissance d'un collaborateur est une donnée personnelle. Cette information ne peut donc pas être partagée sans le consentement formel de tout le monde avant d'établir un calendrier partagé des anniversaires.

2. Envoyer des cartes de vœux professionnelles

Si les adresses utilisées sont privées, alors il s'agit de données personnelles dont le traitement n’est pas autorisé par le RGPD. Pour qu’il le soit, l’entreprise doit obtenir le consentement préalable de son client. A contrario, une base de données règlementaire différente doit être créée pour chaque communication professionnelle envoyée.

3. Partager les photos du bébé d'un collaborateur

Les données personnelles ne peuvent être transférées au niveau international que si le pays a été désigné par l'UE comme assurant un niveau adéquat de protection des données ou en se conformant à un mécanisme de certification approuvé tel que le bouclier de protection de la vie privée Union Européenne-États-Unis. Toutefois, si le partage d'une photo de bébé est considéré comme une activité purement personnelle, l’entreprise peut faire valoir qu’elle ne relève pas du champ d’application du RGPD.

4. Evènements : passer commande au traiteur

Des collaborateurs allergiques aux noix ? Des habitudes alimentaires spécifiques à leurs croyances ? Ces données sont considérées comme des données personnelles. Avant de décrocher le téléphone pour passer commande à un restaurant ou un traiteur, l’entreprise doit s’assurer d'avoir l’accord des salariés concernés pour partager ce type d’information.

5. Transférer le CV d'un candidat pour un deuxième avis.

Avant de le transférer, le recruteur ou le collaborateur devra penser à l'anonymiser, en supprimant le nom, l'adresse, le numéro de téléphone et toute autre information qui permettrait d’identifier le candidat. Cette démarche contribue également à éliminer les préjugés sexistes ou raciaux dans le recrutement, une tendance de plus en plus courante.

6. Cocher la case d’inscription à une liste de diffusion.

Le formulaire d'inscription au site Web de l’entreprise comporte-t-il une case à cocher pour l’accord de ses clients concernant la réception des informations marketing de tiers ? Avec le RGPD, les cases pré-cochées et l’inaction ne suffiront plus à prouver le consentement. Une réécriture des conditions de confidentialité en ligne sera peut-être également à enclencher, car une demande de consentement à l'utilisation de renseignements personnels par une entreprise doit être intelligible et rédigée dans un langage clair et simple.

7. Parler de politique au bureau

Les opinions politiques sont considérées comme des données personnelles sensibles. Bien que déjà prudentes sur l’utilisation de ce type d’informations, les entreprises vont devoir redoubler de vigilance.

8. Signaler une absence pour cause de maladie

L’entreprise ne pourra plus informer d’une absence pour raison médicale ni transmettre des informations sur l’état de santé d’un collaborateur, à moins que celui-ci n’ait consenti à ce que cette information soit partagée avec toutes les personnes qui doivent en être informées.

9. Auditer les données

Le RGPD impose aux entreprises une personne désignée comme responsable des questions de protection des données et, dans certains cas, une entreprise peut avoir besoin de nommer officiellement un DPO ou « Délégué à la protection des données » avant de procéder à un traitement à grande échelle des données à caractère personnel. Cette personne désignée est responsable de la sensibilisation aux réglementations en matière de protection des données au sein de son organisation, de la formation du personnel et de la gestion des audits des processus de données.

10. Gérer une atteinte à la protection des données

Si des données personnelles sont accidentellement ou illégalement perdues, détruites, modifiées ou endommagées, l’entreprise doit en informer la CPVP (Commission de la Protection de la Vie Privée) dans un délai de 72 heures. Elle doit également informer toutes les personnes concernées si cela représente un risque élevé pour elles de perte financière, de vol d'identité ou de fraude.