Informations légales
Logo de marc l'artisan Marc l'artisan
22 juin 2008

comment respecter RGPD obligation legales entrepise artisanale pme SA EURL SARL SCOP batiment btp

 

Depuis plusieurs semaines, vous recevez probablement une quantité considérable d’emails vous informant que les conditions générales d’utilisation de tel ou tel site avaient changé. Parfois certains vous demandent l’autorisation de continuer à vous envoyer des messages.

 

Une réglementation européenne sur la protection des données personnelles

Tous ces différents messages qui frisent parfois la paranoïa ridicule sont liés à la mise en œuvre en France d’une réglementation européenne sur la protection des données personnelles (RGPD). Elle s’applique depuis le 25 mai 2018, en replacement de la loi dite « Informatique et Liberté » de la Cnil. Cette obligation concerne toutes les entreprises, organisations ou associations qui possèdent des données concernant des personnes physiques. C’est-à-dire que la plus petite entreprise du bâtiment est aussi impactée par le RGPD puisqu’elle enregistre des données personnelles dans son registre de salariés et surtout dans les fiches clients ou chantiers de Batappli. Il faut aussi également savoir que cette obligation concerne tout support, y compris papier : votre petit répertoire noir (le professionnel) et l’agenda corné peuvent donc être inclus dans le lot…

Mais pas de panique pour autant ! Certes, le RGPD fait peur en indiquant par exemple qu’une entreprise risque des amendes allant jusqu’à 4% de son chiffre d’affaires en cas de manquement. Mais cela vise surtout les grandes entreprises, les Google et Facebook ou bien les opérateurs téléphoniques… Elles brassent sans le dire des millions de coordonnées de clients et n’hésitent pas à les vendre à d’autres par exemple pour des opérations marketing et commerciales… Et cela pose un sérieux problème lorsqu’une banque ou Twitter se fait pirater des millions de coordonnées avec des cartes bancaires. Et si le menuisier ou le plombier du coin ont quand même bien moins de risques de se faire pirater des millions de numéros de cartes bancaires, la loi s’applique à tous… Pour autant vous n’êtes pas obligés d’appliquer des règles aussi poussées que Facebook ou Google. Vous pouvez prendre des mesures plus modestes et plus simples mais qui vous permettront tout de même d’être à l’abri, en cas d’un hypothétique contrôle.

 

Les principes importants de ce règlement (et les mesures à appliquer) sont :

 

identification liste donnees infos personnelles detenues reglementation rgpd

1 - Identifier toutes les données personnelles détenues.

Pour cela il faut prendre un cahier ou un fichier de type Word ou Excel pour indiquer quelles sont ces données personnelles : noms, prénoms, adresses, numéro de téléphones, numéros de sécurité sociales, coordonnées bancaires, notes relatives à un chantier… Il s’agit de tout ce qui permet de rendre identifiable une personne ou tout ce qui est attaché à une personne identifiée.

Il faut préciser où sont situées ces données : dans votre répertoire papier, dans les contacts de votre Smartphone, les fiches clients Batappli, en copie dans votre disque dur de sauvegarde...

Surtout il faut dire à quoi servent ces données et ce qui en justifie la conservation. Par exemple d’indiquer que vous conservez l’adresse d’un client pour lui adresser vos devis et factures, mais aussi vos documentations, vos sollicitations commerciales ou même vos meilleurs vœux.

Enfin, vous devez également fixer une durée de conservation de ces données. La plupart du temps, si elles sont inutilisées plus de 3 ans, elles devront être détruites ou effacées.

 

politique outils protection securiser donnees entreprise pme artisan btp RGPD securite

2 – Sécuriser vos données.

Il faut mettre en place différents systèmes de protection, à commencer par un tiroir ou un placard fermé à clef pour les papiers et un bon logiciel anti-virus avec firewall à jour pour les données sur l’ordinateur. Bien évidemment, le but est d’éviter que ces données ne soient volées ou exploitées par d’autres personnes qu’au sein de votre entreprise. Ainsi, il faut que les dispositifs soient adaptés à votre structure. Il sera peut-être nécessaire d’appliquer des mesures plus poussées par exemple avec mise en place de mot de passe de Batappli régulièrement changé… Sachez par exemple qu’il est impossible de lire les données de Batappli sans sa clef de protection (dongle). Sans elle, les données qui sont enregistrées dans le logiciel sont cryptées et donc illisibles.

 

obligation information stockage acces donnees personelle rgpd

3 – Informer les personnes concernées.

Cette disposition vise à permettre à des personnes dans votre fichier de voir les données personnelles les concernant, de les modifier ou de les effacer. C’est d’ailleurs pour ce point en particulier que vous recevez actuellement autant de messages. Mais n’allez pas en ajoutez.

Pour informer vos contacts, il suffit que vous modifiez vos documents (devis et factures) ou votre site Internet en ajoutant cette ligne : « Dans le cadre du RGPD, nous vous informons que vous disposez d’un accès aux données vous concernant. Ces données personnelles sont sécurisées et strictement réservées à nos services. Elles nous servent à des fins opérationnelles, commerciales et comptables. Vous pouvez à tout moment demander de les voir, les modifier ou les supprimer ».

 

comment definir plan amelioration protection donnees responsabilite rgpd

4 - Définir un plan d’amélioration

Normalement, en ayant mis noir sur blanc ces différentes informations (quelles sont mes données, où sont-elles, à quoi servent-elles et combien de temps vais-je les garder ?) et la manière dont vous protégez vos données, vous devez identifier certaines faiblesses. Par exemple : le double du fichier client que la comptable a imprimé en papier pour pointer au fur et à mesure les encaissements… Un autre exemple est lorsque vous, électricien, donnez les contacts d’un client à un collègue plaquiste sur un chantier. En effet, votre responsabilité s’applique aussi à vos partenaires et sous-traitants.

L’idée est donc d’indiquer au fur et à mesure ce que vous comptez faire pour améliorer la sécurité des données, par l’ajout d’un nouveau dispositif physique ou informatique. Bien évidemment, si vous constatez des défauts : essayez de les résoudre au plus tôt.

 

mettre a jour maintenir securite donnees role mission data protection officer DPO pme

5 – Mettre à jour ce processus RGPD

Les grandes organisations vont nommer un DPO (Data Protection Officer) c’est-à-dire une personne qui va être responsable des données personnelles et exiger des différents services l’application du RGPD et des différentes mesures. Dans les plus petites structures, c’est le dirigeant qui peut assurer cette mission (ou il peut nommer qui il souhaite). Il faut simplement se dire que ce fameux document doit servir de feuille de route et qu’il faut normalement faire un point chaque année sur son évolution et noter les changements apportés et à apporter. Cela ressemble d’ailleurs à ce qu’il faut faire avec le document unique d’évaluation des risques…

Enfin sachez que comme votre société, Systemlog, l’éditeur de Batappli, est concerné par le RGPD et met aussi en œuvre tout ce qu’il faut pour être en conformité avec la loi et surtout protéger les utilisateurs de Batappli.

 

Pour plus d’informations notamment sur la manière d’inclure la ligne RGPD dans vos documents ou le cryptage des données dans Batappli, vous pouvez contactez le Service Clients Batappli au 04 99 13 32 00