Protection des données en entreprise : comment faire ?
Sommaire
Comment assurer la protection des données dans le cadre professionnel ? Depuis l’entrée en vigueur du RGPD en 2018, la protection des données en France et en Europe est une obligation légale pour toutes les entreprises. Des informations personnelles des collaborateurs à celles de la clientèle, voici les règles que les compagnies doivent respecter pour rester en conformité.
Protection des données du personnel
Recrutement et RGPD : quelles sont les règles ?
Lors d’un entretien, certaines questions ne peuvent pas être abordées en raison de leur caractère sensible. Seules les informations nécessaires au poste pour lequel le recrutement a lieu peuvent être recueillies. Par exemple, des questions sur les membres de la famille du candidat sont inutiles au regard de l’emploi à pourvoir. En effet, elles ne concernent ni les connaissances ni les compétences de la personne.
L’entreprise a, par ailleurs, le devoir d’informer les candidats quant au traitement des données qu’ils ont communiquées. Qui pourra y accéder, quelle sera leur durée de conservation par la compagnie… Il faudra également rappeler comment ils peuvent exercer leurs droits (accès aux données, rectification ou suppression).
Après les entretiens, la société devra supprimer toutes les informations des personnes non retenues. Seule exception : certaines d’entre elles peuvent accepter de rester dans la base de données de la compagnie. Elles pourront être ainsi recontactées pour un éventuel prochain recrutement, par exemple. Attention cependant, l’entreprise devra impérativement les effacer après deux ans.
Du côté des nouvelles recrues, elles doivent forcément fournir des données supplémentaires. C’est le cas par exemple du numéro de sécurité sociale. Celui-ci n’est pas nécessaire tant que le candidat n’est pas recruté. Le recruteur devra bien veiller à ne pas demander ce genre d’informations tant que la personne n’est pas embauchée.
Gestion des données personnelles des collaborateurs
Les entreprises manipulent une multitude de données personnelles de leurs collaborateurs. Ces informations sont en effet indispensables à la gestion des employés et de la compagnie. Elles permettent, par exemple, d’assurer leur rémunération ou encore de s’occuper des déclarations sociales.
Les compagnies ne doivent récolter que les données nécessaires à la réalisation de la mission des collaborateurs. Toute information sensible doit être évitée, telle celle abordant les activités syndicales ou encore la santé. Si l’entreprise doit traiter l’une de ces informations particulières, un certain nombre d’obligations supplémentaires s’ajoutent.
Par ailleurs, étant en possession de données spécifiques à risque sur leur personnel, les sociétés en sont considérées comme les garantes. Elles doivent donc en assurer la sécurité en se conformant aux règles de la protection des données personnelles du RGPD (Règlement général sur la protection des données).
De plus, chaque salarié dispose d’un droit sur ses informations et peut en demander une copie à l’entreprise.
À noter :
Selon le Code du travail, les entreprises ont le droit de contrôler l’activité de leurs collaborateurs. Cela est possible dans certaines limites toutefois. En effet, les nouvelles technologies rendent la surveillance sur le lieu de travail plus facile (enregistrements et écoute des appels, géolocalisation, vidéosurveillance, etc.). Mais elles peuvent entrer en contradiction avec le respect de la vie privée et la protection des données personnelles. Chaque compagnie utilisant ces technologies de surveillance devra alors s’assurer de rester en conformité avec le RGPD.
Protection des données personnelles des clients
Prospection et RGPD : adopter les bonnes pratiques
En cas d’activité de prospection, un ensemble de bonnes pratiques sont à adopter dans le but de respecter le RGPD.
Si une multitude d’outils spécifiquement développés permettent aujourd’hui de solliciter des prospects, c’est-à-dire des personnes qui ne sont pas encore clientes de l’entreprise, la protection des données reste en vigueur. Ainsi, les informations personnelles telles que les adresses, les e-mails ou encore les noms qui seront utilisés à des fins commerciales sont à manier avec précaution. Par exemple, les compagnies achetant des bases de données devront être particulièrement attentives à leur provenance et à leur fiabilité : ont-elles été recueillies de manière légale, ou non ? Sont-elles correctes ? En effet, si le consentement des personnes n’a pas été obtenu de façon explicite, l’entreprise risque d’affronter des plaintes déposées à la CNIL. En outre, si les données sont erronées, baser une campagne d’emailing sur de fausses adresses sera une perte de temps et d’argent.
Par ailleurs, l’accord des personnes sollicitées doit avoir été donné préalablement à sa sollicitation. Envoyer par exemple de la publicité en cas de refus, ou d’absence de consentement constitue une entorse au RGPD.
À noter :
Si chaque mode de prospection a ses propres règles, le recueil du consentement est indispensable pour tout ce qui concerne le B2C. S’agissant du B2B en général, et du B2C par téléphone ou par courrier, l’absence d’opposition de la personne démarchée peut être considérée comme un « oui » par l’entreprise qui démarche.
Attention toutefois, des règles spécifiques relatives à la prospection par téléphone s’appliquent.
RGPD et relation client : les trois règles à respecter
Trier les données
La relation client repose sur la confiance. La protection de leurs données par l’entreprise est l’un des piliers sur lequel elle s’appuie. Faire le tri dans les informations reçues par l’entreprise est nécessaire. Par exemple, le client devra parfois fournir des justificatifs, telle une copie de sa pièce d’identité. Or, il n’est pas indispensable pour l’entreprise de conserver ce document dans la durée. En effet, il peut simplement lui suffire d’enregistrer le fait que l’information a été transmise.
Informer les clients du traitement de leurs données
Lors du recueil des données, il est impératif d’informer le client concernant l’utilisation qui en sera faite. C’est pourquoi il est pertinent :
- D’ajouter une rubrique sur la protection des données dans les Conditions Générales de Vente (CGV).
- D’insérer dans les formulaires de collectes une mention informative sur le sujet.
- De s’assurer d’avoir mis à disposition des clients un moyen de contact afin qu’ils puissent exercer leurs droits sur leurs données (accès, suppression, opposition, etc.).
- De recueillir leur consentement dans le cas où leur adresse e-mail, par exemple, est partagée à des partenaires commerciaux.
Respecter les dates limites de conservation des données
Les données des clients ne peuvent être conservées indéfiniment. Elles doivent suivre un cycle en trois phases.
D’abord, elles sont placées dans une base de données dite « active », phase au cours de laquelle elles sont aisément accessibles aux personnes désignées.
Puis, lorsqu’elles ont atteint la finalité pour laquelle elles étaient collectées, elles devront être archivées dans une base plus restreinte, mais seront toujours nécessaires au niveau administratif.
Enfin, lorsque leur utilité administrative prend fin, elles pourront être supprimées, ou anonymisées, selon les situations.
Attention : À compter de trois ans suivant la fin de la relation commerciale, le client est dans une situation d’inactivité prolongée. L’entreprise devra alors supprimer ses données.
La synthèse de Julien Dupé
(CEO et Fondateur de Infonet.fr)Depuis l’entrée en vigueur du RGPD, les entreprises doivent assurer la protection des données personnelles de leurs collaborateurs et clients. Du recrutement à la manipulation des informations des employés et de la prospection à la fidélisation client, un ensemble de règles doivent être appliquées.
Guides par thématiques
Choisissez la catégorie de la définition à consulter.
- Assemblée générale (7)
- Auto-entrepreneur (16)
- Brevet (18)
- Business plan (6)
- Création d'entreprise (36)
- Cycle de vie de l'entreprise (6)
- Financement (7)
- Fiscalité (15)
- Formalités et démarches d'entreprise (11)
- Franchise (8)
- Gestion comptable et financière (15)
- Marque (8)
- Obligations légales des entreprises (6)
- Obligations sociales du dirigeant (12)
- Publication des comptes annuels (8)
- RGPD (7)