Protection des données personnelles : Les bonnes pratiques RGPD

Les bonnes pratiques RGPD

Traitement de données bancaires

Conservation des CV dans sa boîte email

Une plaque d'immatriculation n'est pas une donnée personnelle

Conservation de fichiers dans "téléchargements"

Envoyer un email au mauvais destinataire

Traitement de données bancaires d'un client "B2C" ou d'une société

Si vous pensez que les données bancaires sont des données sensibles qui impliquent des actions complémentaires, vous avez tort. En effet, une donnée bancaire n’est pas du tout considérée comme étant une “donnée sensible”. Pareil si vous devez traiter des données bancaires d’une société / association.

Le RGPD ne s’applique qu’aux données personnelles, c’est à dire, aux données des individus. Une société est une personne morale. En conséquence, ses données bancaires ne sont pas des données personnelles.

De plus, les données sensibles correspondent uniquement à quelques catégories de données très spécifiques. On peut citer à titre d’exemple ici le cas d’orientation sexuelle, de données de santé, d’appartenance syndicale, de croyances et convictions religieuses ou philosophiques, etc.

Les bonnes pratiques RGPD : Conservation des CV

Les données ne peuvent être conservées que pour une durée limitée. Cette durée évolue et change en fonction des catégories de données traitées.

A titre d’exemple, les CV ne peuvent être conservées que pour une durée de 2 ans maximum à compter de la candidature.

A l’issue de cette période, il faut supprimer les CV hébergés sur votre ordinateur / boite email.

Les bonnes pratiques RGPD pour recueillir les données ethniques des clients / salariés

Concernant ce point, vous n’avez pas le droit de faire une telle liste de données ethniques, alors même que, dans le cadre de votre mission, il serait intéressant de recueillir ce genre de données que ce soit de vos client ou de vos salariés. En effet, cela est strictement interdit.

En France, la loi Informatiques et libertés du 6 janvier 1978 interdit par principe de collecter ou de traiter des données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques des personnes.

Le non-respect de cette interdiction est passible de 5 ans d’emprisonnement et 300.000 euros d’amende, selon l’article 226-19 du Code pénal.

Une plaque d'immatriculation est une donnée personnelle

Une donnée personnelle permet d’identifier un individu directement ou indirectement.

Une plaque d’immatriculation apporte une information qui permet d’identifier indirectement un individu. A ce titre, il s’agit bien d’une donnée personnelle.

Conservation de fichiers sur ordinateur depuis plusieurs années : Quelles sont les bonnes pratiques RGPD à adopter ?

Tel est le cas en ce qui concerne la conservation de CV, les autres données personnelles ne peuvent être conservées indéfiniment.

Chaque fichier contenant des données comme une facture à titre d’exemple, un contrat ou un CV […] ne peut donc être conservés que pour une durée limitée, qui varie, bien entendu, en fonction de la nature de la donnée.

Recevoir un email suspicieux : Les bonnes pratiques RGPD à adopter

Cliquer sur un email frauduleux, provenant de personnes malveillantes, est l’une des principales causes de piratage et de demande de rançon.

En cas de réception d’une source ou texte incohérent, une demande farfelue ou toute autre email qui vous semble sortir de l’ordinaire, vous devez impérativement en informer la personne compétente (ex : DSI) pour déterminer la nature et la dangerosité de l’email.

Sécurisez vos données en adoptant les bonnes pratiques RGPD

Vous utilisez votre ordinateur portable personnel pour le travail ?

Si vous êtes autorisé(e) à utiliser votre ordinateur personnel pour le travail, vous devez respecter toutes les règles requises par votre employeur en matière de sécurité (ex : antivirus, mot de passe complexe, etc.). Si vous avez des doutes sur les mesures de sécurité à respecter, vous pouvez demander à la personne compétente (ex : DSI).

Vous avez partagé vos identifiants avec une personne malveillante ?

Si vous pensez avoir partagé vos identifiants, vous devez immédiatement les modifier et informer la personne compétente au sein de votre structure.

Une clé USB ou un disque dur externe sont les meilleurs moyens de sécuriser et de protéger ses données ?

Tout support “nomade” comme les clés USB ou les disques durs externes sont à éviter au maximum puisqu’ils représentent l’une des principale source de violation de données en France (ex : clé USB oubliée dans un bar, vol, etc.).

Vous êtes victime d’un piratage sur votre poste

Il faut savoir que si vous êtes victime de piratage (ex : écran crypté, bugs fréquents, etc.), la notification à la CNIL ne sera réalisée que dans des cas spécifiques, déterminées par votre employeur avec l’assistance de son DPO.

« Mon mot de passe est “123nousironsaubois” »

Un mot de passe complexe comprend, au moins, 8 caractères alphanumériques (ex : lettres, chiffres, caractères spéciaux). Toutefois, il est fortement recommandé de ne pas mettre votre date d’anniversaire, votre nom, prénom ou encore une suite de chiffre comme 1,2,3,4.

Vous utilisez le même mot de passe à titre personnel qu’à titre professionnel ?

Utiliser le même mot de passe professionnel et personnel n’est pas interdit en soi mais une telle pratique est fortement déconseillée, afin de réduire au maximum le risque de violation de données.

Veuillez noter que le risque encouru est aussi dangereux pour vous, à titre personnel, que pour votre employeur.

« Mon mot de passe est changé tous les 2 ans »

En plus de devoir être complexe, un mot de passe doit, au mieux, être renouvelé tous les trimestres. A défaut, le risque de piratage devient de plus en plus important.

Quelles sont les bonnes pratiques RGPD
à adopter quand vous envoyez un email au mauvais destinataire

La nature du destinataire ainsi que le volume / nature des données communiquées jouent:

👉 Si je connais bien le destinataire ou que les données ne sont ni spécifiques (ex : données bancaires, revenus, sécurité sociale) ni sensibles (ex : orientation sexuelle, santé, etc.), je lui demande de supprimer l’email et de m’envoyer un email de confirmation de la suppression.

👉 Si je ne connais pas le destinataire ou que les données sont soit spécifiques (ex : données bancaires, revenus, sécurité sociale) soit sensibles (ex : orientation sexuelle, santé, etc.), j’en informe immédiatement mon manager et mon DPO.

POUR EN SAVOIR PLUS SUR LE RGPD

Regardez les replays de nos Webinars sur notre Chaine YouTube

Suivez notre activité sur la page Linkedin de Dipeeo

Suivez nous sur Twitter

Likez notre page Facebook

Vous pouvez aussi nous contacter à l’adresse contact@dipeeo.com

Pour en savoir plus, prenez un RDV avec l'un de nos experts !

Dipeeo : c'est un DPO externalisé qui traite tous les sujets RGPD pour vous

Cela va vous permettre de gagner du temps et de sécuriser votre business, pour un coût près de 3 fois moindre qu’un cabinet d’avocat

DPO externalisé à vos côtés

Conformité RGPD globale

Simple et rapide

Le label "RGPD Conforme" délivré

Envie de découvrir
Dipeeo ?
Demander une démo !

Nous sommes disponibles pour échanger sur vos besoins

et vous présenter le service de DPO externalisé Dipeeo

Votre DPO externalisé réalise votre mise en conformité et traite

tous les sujets RGPD au quotidien

Ou appelez nous directement au 09 86 23 21 29

Pour vous contacter, nous devons traiter vos données.
Pour plus d’infos, consultez notre Politique de confidentialité.