Dans 1 mois exactement, le Règlement Général sur la Protection des Données (RGPD) entrera en vigueur dans tous les pays de l’Union Européenne, instaurant pour les entreprises de toutes tailles des restrictions dans l’utilisation et le traitement des données personnelles de leurs clients, prospects et salariés.

Toutes les entreprises doivent l’anticiper et se préparer. Sage a identifié 10 actions courantes sur le lieu de travail qui devront faire l’objet d’une attention particulière à partir du 25 mai prochain.

1. Célébrer l'anniversaire d'un collègue

La date de naissance d'un collaborateur est une donnée personnelle. Dans le cadre du RGPD, cette information ne peut être partagée sans son consentement formel. 

Il est donc important de vérifier le consentement de tout le monde avant d'établir un calendrier partagé des anniversaires.

2. Envoyer des cartes de vœux professionnelles

Pour l’envoi des cartes de vœux à ses clients, l’entreprise va également devoir changer ses habitudes. 

Si les adresses utilisées sont celles de leur domicile, alors il s'agit de données personnelles dont le traitement n’est pas autorisé par le RGPD.

Pour qu’il le soit, l’entreprise doit obtenir le consentement préalable de son client. Si ce n’est pas le cas, une base de données réglementaire différente doit être créée pour chaque communication professionnelle envoyée.

3. Partager les photos du bébé d'un collaborateur

Les données personnelles ne peuvent être transférées au niveau international que si le pays a été désigné par l'UE comme assurant un niveau adéquat de protection des données ou en se conformant à un mécanisme de certification approuvé tel que le bouclier de protection de la vie privée Union Européenne-États-Unis.

Toutefois, si le partage d'une photo de bébé est considéré comme une activité purement personnelle, l’entreprise peut faire valoir qu'elle ne relève pas du champ d'application du RGPD.

4. Evènements : passer commande au traiteur

Des collaborateurs allergiques aux noix ? Des habitudes alimentaires spécifiques à leurs croyances ? Ces données sont considérées comme des données personnelles. 

Avant de décrocher le téléphone pour passer commande à un restaurant ou un traiteur, l’entreprise doit s’assurer d'avoir l’accord des salariés concernés pour partager ce type d’information.

5. Transférer le CV d'un candidat pour un deuxième avis.

Avant de le transférer, le recruteur ou le collaborateur devra penser à l'anonymiser, en supprimant le nom, l'adresse, le numéro de téléphone et toute autre information qui permettrait d’identifier le candidat. 

Cette démarche contribue par la même occasion à éliminer les préjugés sexistes ou raciaux dans le recrutement, une tendance de plus en plus courante.

6. Cocher la case d’inscription à une liste de diffusion.

Le formulaire d'inscription au site Web de l’entreprise comporte-t-il une case à cocher pour l’accord de ses clients concernant la réception des informations marketing de tiers ?

Avec le RGPD, les cases pré-cochées et l'inaction ne suffiront plus à prouver le consentement. 

Une réécriture des conditions de confidentialité en ligne sera peut-être également à enclencher, car une demande de consentement à l'utilisation de renseignements personnels par une entreprise doit être intelligible et rédigée dans un langage clair et simple.

7. Parler de politique au bureau

Les opinions politiques sont considérées comme des données personnelles sensibles. Bien que déjà prudentes sur l’utilisation de ce type d’informations, les entreprises vont devoir redoubler de vigilance.

8. Signaler une absence pour cause de maladie

L’entreprise ne pourra plus informer d’une absence pour raison médicale ni transmettre des informations sur l’état de santé d’un collaborateur, à moins que celui-ci n’ait consenti à ce que cette information soit partagée avec toutes les personnes qui doivent en être informées.

9. Auditer les données

Dans le cadre du RGPD, les entreprises ont besoin d'une personne désignée comme responsable des questions de protection des données et, dans certains cas, une entreprise peut avoir besoin de nommer officiellement un DPO ou « Délégué à la protection des données » avant de procéder à un traitement à grande échelle des données à caractère personnel.

Cette personne désignée est responsable de la sensibilisation aux réglementations en matière de protection des données au sein de son organisation, de la formation du personnel et de la gestion des audits des processus de données.

10. Gérer une atteinte à la protection des données

Dans le cadre du RGPD, si des données personnelles sont accidentellement ou illégalement perdues, détruites, modifiées ou endommagées, l’entreprise doit en informer la CNIL dans un délai de 72 heures. 

Elle doit également informer toutes les personnes concernées si cela représente un risque élevé pour elles de perte financière, de vol d'identité ou de fraude.

Selon une étude IDC, moins de la moitié des PME européennes ont pris des mesures pour se préparer à cette nouvelle réglementation.