Calysta s’est mise en conformité avec le RGPD – Comment avons-nous procédé ?

CALYSTA s’est mise en conformité avec le RGPD – Comment avons-nous procédé ?

Il n’est pas contestable que le Règlement Général sur la Protection des Données (RGPD) est une législation assez obscure. Cependant, chez CALYSTA nous sommes convaincus que l’implémentation du RGPD doit être un exercice facile pour les PME, à condition d’utiliser les bons outils et un peu de bon sens.

Nous avons commencé par inventorier et cartographier l’ensemble des données que nous traitions. Nous avons identifié principalement trois catégories de personnes dont nous traitions les données : nos clients, nos fournisseurs et notre personnel.

Pour chacune de ces catégories de personnes, nous avons listé les données personnelles que nous possédions : données d’identité (nom, prénom, identificateur, titre, …), données de contact (adresse postale et électronique, téléphone, …), données financières (compte bancaire, …), données techniques (adresse IP, login, …), données de profil (historique des commandes, préférences, centres d’intérêt, …), données d’usage (de notre plateforme internet), données de marketing (préférences pour le marketing direct).

C’est lors de cet inventaire que nous nous sommes rendus compte que nous traitions des catégories de données dites « sensibles », à savoir les empreintes digitales (données biométriques) de nos travailleurs qui s’en servent pour se connecter à leur ordinateur portable. Nous avons donc redoublé de prudence pour ces données.

Ensuite, nous avons établi la liste des objectifs (finalités) de traitement qui utilisent les données identifiées ci-dessus (gestion des commandes, des achats, des clients, des fournisseurs, du personnel, activités de marketing, …). Nous avons examiné attentivement si nous avions réellement besoin de toutes les données pour atteindre nos objectifs. Ceci est le principe de la minimisation des données porté par le RGPD).

Nous avons alors créé notre registre des activités de traitement. Pour chaque activité de traitement (finalité), nous avons déterminé les catégories de personnes concernées (clients, fournisseurs, travailleurs, …), les catégories de données nécessaires (après minimisation), les catégories de destinataires (en interne et en externe), la période de conservation des données (en tenant compte des obligations légales), les mesures techniques et organisationnelles de sécurisation des données (cryptage, pseudonymisation, doits d’accès, …) et les éventuels transferts de données en-dehors de l’Europe.

Bien que ce ne soit pas strictement requis par le RGPD, nous avons ajouté à notre registre des traitements les bases légales pour chacune de nos activités de traitement (contrat, obligation légale, intérêt légitime, consentement, …).

Sur la base du registre des traitements finalisé, nous avons établi notre charte vie privée. Le RGDP liste clairement ce que doit contenir la charte, l’objectif premier étant la transparence parfaite vis-à-vis des personnes concernées. Notre charte est aujourd’hui publiée sur notre site internet.

Enfin, nous avons établi une charte vie privée à destination de notre personnel.
Au final, ce fut un exercice intéressant qui nous a permis de nous rendre compte de la quantité de données que même une petite structure comme la nôtre était amenée à traiter. Une prise de conscience rafraîchissante !

N’hésitez pas à nous contacter si vous souhaitez vous aussi vous mettre en conformité avec le RGPD, sans douleur et sans frais excessifs !