Logo Dipeeo - Votre DPO externe

Protection des données personnelles : les bonnes pratiques à adopter

Traitement de données bancaires d'un client "B2C" ou d'une société

Si vous pensez que les données bancaires sont des données sensibles qui impliquent des actions complémentaires, vous avez tort. En effet, une donnée bancaire n’est pas  du tout considérée comme étant une “donnée sensible”. Pareil si vous devez traiter des données bancaires d’une société / association.

Le RGPD ne s’applique qu’aux données personnelles, c’est à dire, aux données des individus. Une société est une personne morale. En conséquence, ses données bancaires ne sont pas des données personnelles.

De plus, les données sensibles correspondent uniquement à quelques catégories de données très spécifiques. On peut citer à titre d’exemple ici le cas d’orientation sexuelle, de données de santé, d’appartenance syndicale, de croyances et convictions religieuses ou philosophiques, etc.

Conservation des CV dans la boite email sans limite de durée

Les données ne peuvent être conservées que pour une durée limitée. Cette durée évolue et change en fonction des catégories de données traitées. 

A titre d’exemple, les CV ne peuvent être conservées que pour une durée de 2 ans maximum à compter de la candidature. 

A l’issue de cette période, il faut supprimer les CV hébergés sur votre ordinateur / boite email. 

Recueillir les données ethniques des clients / salariés

Concernant ce point, vous n’avez pas le droit de faire une telle liste de données ethniques, alors même que, dans le cadre de votre mission, il serait intéressant de recueillir ce genre de données que ce soit de vos client ou de vos salariés. En effet, cela est strictement interdit. 

En France, la loi Informatiques et libertés du 6 janvier 1978 interdit par principe de collecter ou de traiter des données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques des personnes. 

Le non-respect de cette interdiction est passible de 5 ans d’emprisonnement et 300.000 euros d’amende, selon l’article 226-19 du Code pénal.

Une plaque d'immatriculation est une donnée personnelle

Une donnée personnelle permet d’identifier un individu directement ou indirectement.

Une plaque d’immatriculation apporte une information qui permet d’identifier indirectement un individu. A ce titre, il s’agit bien d’une donnée personnelle.

 

Conservation de fichiers sur ordinateur depuis plusieurs années, y compris ceux qui sont hébergés dans le fichier "téléchargements"

Tel est le cas en ce qui concerne la conservation de CV, les autres données personnelles ne peuvent être conservées indéfiniment. 

Chaque fichier contenant des données comme une facture à titre d’exemple, un contrat ou un CV […] ne peut donc être conservés que pour une durée limitée, qui varie, bien entendu, en fonction de la nature de la donnée.

Recevoir un email suspicieux

Cliquer sur un email frauduleux, provenant de personnes malveillantes, est l’une des principales causes de piratage et de demande de rançon. 

En cas de réception d’une source ou texte incohérent, une demande farfelue ou toute autre email qui vous semble sortir de l’ordinaire, vous devez impérativement en informer la personne compétente (ex : DSI) pour déterminer la nature et la dangerosité de l’email. 

cnil charte informatique rgpd

Sécurisez vos données

Vous utilisez votre ordinateur portable personnel pour le travail ?

Si vous êtes autorisé(e) à utiliser votre ordinateur personnel pour le travail, vous devez respecter toutes les règles requises par votre employeur en matière de sécurité (ex : antivirus, mot de passe complexe, etc.).  Si vous avez des doutes sur les mesures de sécurité à respecter, vous pouvez demander à la personne compétente (ex : DSI). 

Vous avez partagé vos identifiants avec une personne malveillante ?

Si vous pensez avoir partagé vos identifiants, vous devez immédiatement les modifier et informer la personne compétente au sein de votre structure. 

Une clé USB ou un disque dur externe sont les meilleurs moyens de sécuriser et de protéger ses données ?

Tout support “nomade” comme les clés USB ou les disques durs externes sont à éviter au maximum puisqu’ils représentent l’une des principale source de violation de données en France (ex : clé USB oubliée dans un bar, vol, etc.). 

Vous êtes victime d’un piratage sur votre poste 

Il faut savoir que si vous êtes victime de piratage (ex : écran crypté, bugs fréquents, etc.), la notification à la CNIL ne sera réalisée que dans des cas spécifiques, déterminées par votre employeur avec l’assistance de son DPO. 

« Mon mot de passe est “123nousironsaubois” »

Un mot de passe complexe comprend, au moins, 8 caractères alphanumériques (ex : lettres, chiffres, caractères spéciaux). Toutefois, il est fortement recommandé de ne pas mettre votre date d’anniversaire, votre nom, prénom ou encore une suite de chiffre comme 1,2,3,4. 

Vous utilisez le même mot de passe à titre personnel qu’à titre professionnel ?

Utiliser le même mot de passe professionnel et personnel n’est pas interdit en soi mais une telle pratique est fortement déconseillée, afin de réduire au maximum le risque de violation de données. 

Veuillez noter que le risque encouru est aussi dangereux pour vous, à titre personnel, que pour votre employeur.

« Mon mot de passe est changé tous les 2 ans »

En plus de devoir être complexe, un mot de passe doit, au mieux, être renouvelé tous les trimestres. A défaut, le risque de piratage devient de plus en plus important.

CNIL prospection commerciale et RGPD - Dipeeo

Envoyer un email à un mauvais destinataire avec des données personnelles dedans

La nature du destinataire ainsi que le volume / nature des données communiquées jouent:

👉 Si je connais bien le destinataire ou que les données ne sont ni spécifiques (ex : données bancaires, revenus, sécurité sociale) ni sensibles (ex : orientation sexuelle, santé, etc.), je lui demande de supprimer l’email et de m’envoyer un email de confirmation de la suppression.

👉 Si je ne connais pas le destinataire ou que les données sont soit spécifiques (ex : données bancaires, revenus, sécurité sociale) soit sensibles (ex : orientation sexuelle, santé, etc.), j’en informe immédiatement mon manager et mon DPO. 

cnil charte informatique rgpd

POUR EN SAVOIR PLUS SUR LE RGPD

Regardez les replays de nos Webinars sur notre Chaine YouTube

Suivez notre activité sur la page Linkedin de Dipeeo

Suivez nous sur Twitter

Likez notre page Facebook

Vous pouvez aussi nous contacter à l’adresse contact@dipeeo.com

Pour en savoir plus, prenez un RDV avec l'un de nos experts !

Dipeeo : c'est un DPO externalisé qui traite tous les sujets RGPD pour vous

Cela va vous permettre de gagner du temps et sécuriser votre business, pour un coût près de 3 fois moindre qu’un cabinet d’avocat
Icone dpo_externe

Simple et rapide

Confiez votre traitement des données à nos experts et économisez votre temps.

Icone dpo_externe

Certifié par des avocats et DPO

Tous nos experts sont des avocats ou DPO certifiés Afnor

Icone dpo_externe

Conformité RGPD globale

Site web, prospection, registres, sensibilisation, cookies, RH et sous-traitants… Rien n’est oublié.

Icone dpo_externe

DPO externe à vos côtés

Votre DPO est l’interlocuteur unique. Vous n’avez pas besoin de compétence RGPD en interne.

Icone dpo_externe

Le label "RGPD Conforme" délivré

Valoriser votre image en communicant votre conformité. Le respect des données personnelles entre dans votre démarche RSE.  

Envie de découvrir
Dipeeo ?
Demander une démo !

Nous sommes disponibles pour échanger sur vos besoins
et vous présenter le service de DPO externalisé Dipeeo
 
Votre DPO externalisé réalise votre mise en conformité et traite
tous les sujets RGPD au quotidien

Pour vous contacter, nous devons traiter vos données.
Pour plus d’infos, consultez notre Politique de confidentialité.

Les ressources disponibles

Tous nos DPO sont certifiés par l'AFNOR et justifient d'une
expérience significative