RGPD* : faire le tri et nettoyer ses bases de données

 

* RGPD : Règlement Général sur la Protection des Données, en application depuis le 25 mai 2018, qui a pour principaux objectifs de renforcer le droit des personnes et de responsabiliser les acteurs traitant des données personnelles sur le territoire de l’Union européenne.

L’article précédent, RGPD : avez-vous créé un registre de vos traitements de données ? nous a montré comment et pourquoi constituer un tel registre, ce dernier permettant de se poser des questions relatives à la collecte et à la conservation des données.

 

Pour rappel, voici les 4 étapes majeures à mener afin de se mettre en conformité :

Constituer un registre des traitements des données : lire l’article ICI
> Nettoyer les bases de données : étape n°2, lire ci-dessous
> Respecter les droits des personnes : lire l’article ICI
> Sécuriser les données

L’étape n°2 nous permet de faire le tri et de nettoyer nos bases de données.
Cette action présente un double avantage : viser la conformité au RGPD et obtenir des bases « propres ».
Une base de données mise à jour (suppression des doublons, correction des fichiers…) est gage d’efficacité et de gain de temps.

Reprenons les fiches d’activités du registre élaboré lors de l’étape n°1 et pour chacune d’elles, assurons-nous que :

 

Les données traitées sont nécessaires à l’activité.

Par exemple, pour l’envoi d’une newsletter d’informations, seule l’adresse mail du contact est nécessaire, l’adresse postale est, pour cette finalité de traitement, superflue.

Pour une action particulière (envoi d’un mail spécial et personnalisé, d’un cadeau le jour de l’anniversaire 🎂 de vos clients), il conviendra d’expliciter la finalité (pourquoi vous avez besoin de collecter cette date et l’adresse postale) et bien entendu d’obtenir le consentement explicite du destinataire.

Pour minimiser la collecte des données, il faut donc supprimer dans les formulaires de collecte et dans les bases de données déjà constituées toutes les infos inutiles au traitement.

 

Les données traitées ne sont pas « sensibles ».

Donnée sensible, voir ici la définition de la CNIL.

Si tel est le cas, vous aurez besoin de vérifier les points de vigilance et mener le cas échéant une analyse d’impact.

 

Les données sont traitées par des personnes habilitées.

Si besoin redéfinir les droits d’accès au sein de l’entreprise.

 

Les données ne sont pas conservées au delà de ce qui est nécessaire.

Les données personnelles doivent être conservées et être accessibles par les services opérationnels uniquement le temps nécessaire à l’accomplissement de l’objectif poursuivi lors de leur collecte. Au delà, ces données doivent être effacées, archivées ou faire l’objet d’un processus d’anonymisation. Si possible, prévoir des règles automatiques d’effacement ou d’archivage.
Pour en savoir plus sur la conservation des données et leur archivage, c’est ici.

 

Plus d’informations sur la mise en place du RGPD ?

Sur le site de la CNIL

En envoyant un message sur le site de LIBELO