Numérique

Données personnelles : quelles sont les bonnes (et les mauvaises) pratiques ?

Le 17/10/2022
par Cécile Vicini
Si les données personnelles sont un levier efficace pour remplir des objectifs commerciaux, elles sont à manipuler avec précaution pour être en conformité avec la loi et les exigences du RGPD (Règlement Général sur la Protection des Données). Les grands groupes ne sont pas les seuls concernés par ces obligations : les artisans aussi doivent s’y conformer. Patrick Blum, délégué général de l’AFCDP (Association Française des Correspondants à la protection des Données à caractère Personnel) nous aide à y voir plus clair.
Partager :

Par où commencer ? 

Le premier réflexe est de se rendre sur le site Internet de la CNIL (Commission nationale de l'informatique et des libertés). Il condense un grand nombre d’informations, et il est possible de consulter le document rédigé conjointement par la CNIL et BPI France, destiné spécialement aux TPE/PME

>> Un document à retrouver ici

« Une fois que que l'on est un peu plus familiarisé avec le sujet grâce à ce guide, il est primordial de créer ce que l’on appelle un registre des traitements des données ». 

C’est un document essentiel pour être conforme à la législation. Il regroupe les données recueillies et leur utilisation. En cas de contrôle par les services de la CNIL, c’est le premier élément qui sera passé à la loupe et fait preuve de bonne foi. Il est donc important de le mettre en place : cela ne prend pas beaucoup de temps et il peut être fait sur une simple feuille de calcul (tableur). 

Il faudra également s’assurer de la durée de conservation des données : il n’y a pas de règle absolue, mais il faut se fixer ses propres règles.

Par exemple, on peut tout à fait imaginer préciser que les données seront conservées pendant deux ou trois ans après la fin de la relation contractuelle, si l’objectif d’utilisation le justifie

Informer les utilisateurs 

La notion d’information est importante, car il s’agit de justifier pourquoi ces données sont collectées auprès de la clientèle, et de préciser à quoi elles vont servir

Il convient également de rappeler aux personnes qui communiquent ces données qu’elles ont des droits (droits d’accès, droits d’opposition, droits de connexion) qui peuvent être appliqués à tout moment. 

Les entreprises doivent par conséquent mettre en place des moyens d’exercer facilement ces droits. Si vous disposez d’un site web, on peut prévoir par exemple un formulaire de contact spécifique, un numéro de téléphone ou une adresse de messagerie dédiée. 

Enfin, il est important de ne pas tomber dans la pratique contre-productive qui vise à recueillir des informations qui n’ont pas de justification, et de plutôt mettre en œuvre la « minimisation des données ».

Par exemple, quand un commerçant propose de créer une simple carte de fidélité, demander une date de naissance ou un numéro de téléphone n’a pas d’utilité. 

Le consentement : une des bases légales du RGPD 

La notion de « consentement » : est une solution assez évidente, mais elle n’est en soi pas une obligation, car il est possible de faire un traitement des données de manière légale avec d’autres modalités. 

La CNIL le définit comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement ».

Dans une boutique physique, le recueil de ce consentement n’est pas une obligation en soi dans la mesure où d’autres modalités de traitement peuvent être mis en place, par exemple en s’appuyant sur une autre base légale.

Garantir la sécurité sur le stockage des données 

Le risque zéro n’existe pas en informatique : il est important de prendre des mesures adaptées pour sécuriser les données que vous avez recueillies et que vous stockez.

Ce sont des réflexes et des process qui peuvent être mis en place facilement : mise à jour régulière des antivirus et logiciels, choisir des mots de passe efficaces, faire des sauvegardes, etc. 

À noter que les failles de sécurité ont également des conséquences pour ceux qui vous ont confié leurs données personnelles. Il faut donc garder à l’esprit les conséquences que des mauvaises pratiques peuvent avoir sur leur vie personnelle et pour l’activité de votre entreprise.

Quelles sont les erreurs les plus courantes ? 

Dans le traitement des données, les erreurs les plus rencontrées sont : 

  • De ne pas informer les gens de l’utilisation de leurs données ; 
  • De traiter des données inutiles (des opinions, une nationalité, une date de naissance, etc) ; 
  • De demander trop d’informations de contact (e-mail, numéro de téléphone fixe et portable, etc). 

Il faut également prendre en compte le fait que les gens sont de plus en plus attentifs à l’exploitation de leurs données personnelles. Il ne faut donc pas créer l’effet inverse de la dynamique principale en utilisant ces données, en créant par exemple de la méfiance. 

>> En savoir plus sur l’Association Française des Correspondants à la protection des Données à caractère Personnel

Partager :