2 axes de réflexion pour les TPE/PME pendant le confinement : votre communication numérique et RGPD

Votre entreprise ou activité est à l’arrêt ou fortement ralentie, au moins jusqu’au 11 mai. C’est l’occasion de vous pencher sérieusement sur deux pistes essentielles d’amélioration de votre fonctionnement afin d’être prêt à repartir sur les chapeaux de roues à la reprise !

webadmin.fr, sites Internet pour TPE/PMEAméliorer votre communication numérique

Votre présence est indispensable sur la toile. Votre carte de visite et votre signature mail sont vos premiers vecteurs de communication et ils doivent mentionner votre site web. Les clients et prospects ont ensuite tout le temps de le consulter, afin d’abord de se rassurer sur votre expérience et vos capacités, puis de comparer vos produits et services !

Votre site Internet doit être le pivot central de votre communication numérique

Votre site web

Vous devez vous doter d’un site web facile à mettre à jour par vous même ou l’un de vos collaborateurs, en évitant les réalisations complexes dont seuls leurs auteurs ont la maîtrise. L’avantage premier de WordPress est sa simplicité de prise en main avec un outil qui ne contient au départ que les fonctions essentielles dont vous avez besoin. Vous l’enrichissez ensuite au fur et à mesure des extensions dont vous avez réellement besoin.

Il n’est pas possible d’être autonome en face d’un outil d’une complexité extrême et dont on ne se servira au final que de 10% des fonctions !

Le confinement c’est d’abord l’occasion de passer en revue votre contenu et de le mettre à jour si vous avez déjà un site web, ou bien de le migrer vers WordPress afin d’alléger vos tâches de mise à jour.

C’est aussi l’occasion de le passer en https et de le rendre conforme RGPD (voir plus bas).

Référencement

Le confinement, c’est l’occasion de travailler le SEO, ou référencement de votre site web, c’est à dire sa capacité à être en haut des pages de résultats de moteurs de recherche.

En savoir + pour alimenter votre réflexion

Réseaux sociaux

Les réseaux sociaux apportent du trafic à votre site web. En choisir 2 maxi afin de ne pas y perdre son temps car ils peuvent être chronophages.

Contrairement à votre site web où vous maitrisez complètement votre contenu et où vous avez toute la place pour le développer, vous êtes exposé sur les réseaux sociaux. Vous y avez peu d’espace pour répondre aux critiques éventuelles comme aux remarques positives. Construisez-vous un diagramme de décision (social media flow chart) et programmez vos publications à l’avance.

webadmin.fr peut vous accompagner ou vous proposer un partenaire spécialisé dans tel ou tel réseau social afin de vous construire un programme éditorial.


Traiter enfin la question RGPD

Nombreuses sont en effet les entreprises qui stagnaient voire reportaient leurs projets RGPD, estimant qu’ils étaient chronophages, complexes et non directement productifs.

Le confinement est alors le moment idéal pour une revue efficace de votre conformité au RGDP par le télétravail. Pour être efficace, votre revue doit intégrer les axes obligatoires de la conformité. Par ailleurs, nombreuses sont les entreprises qui, sous le couvert de la lutte contre la pandémie et le respect de l’obligation de sécurité incombant à l’employeur, ont mis en place des mesures contraires au RGPD et attentatoires aux droits et libertés des personnes. À la fin de cet article, nous verrons ce qu’il ne faut surtout pas faire.

Regardez d’abord cette vidéo qui présente une situation réelle :

1- La revue de votre registre des traitements

Le registre des traitements est considéré comme le premier outil de la conformité d’une entreprise. Il sert à présenter de façon macroscopique les traitements mis en œuvre au sein de votre entreprise. Le registre doit renseigner fidèlement : les parties prenantes qui interviennent dans les traitements ; les types de données personnelles traitées ; la durée de conservation des données ; les mesures de sécurité mises en place etc.

Il vous faut donc faire le point sur les traitements en cours et intégrer dans le registre les projets (traitements) nouveaux, ou les traitements anciens qui ont été sensiblement modifiés. Ce serait par exemple le cas des actions effectuées dans le cadre de la lutte contre le Covid-19 (collecte d’informations sur l’exposition éventuelle des salariés au virus). De même, si votre entreprise a mis en place le télétravail pour la première fois alors qu’elle n’y avait jamais recouru jusqu’alors, vous devez inscrire ce traitement dans leur registre. Si votre entreprise y recourait déjà, mais a dû se transformer sensiblement pour s’adapter au soudain grand nombre de salariés en télétravail, une telle modification nécessite une mise à jour dans le registre des traitements.

2- La revue de la sécurité de votre système d’information (SI)

Stella Manga Chesnay, SMC Compliance

Stella Manga Chesnay

La sécurisation physique de vos locaux est cruciale. Mais la sécurisation des données personnelles ne saurait être garantie sans une bonne sécurisation du SI. C’est la raison pour laquelle le RGPD exige à tous les responsables de traitement de mettre en œuvre des mesures techniques afin de garantir la sécurité des données personnelles. Dans le contexte actuel de recours massif au télétravail, il pourrait par exemple s’agir de l’installation d’un VPN pour sécuriser les connexions sur le SI de l’entreprise, ou le chiffrement des postes de travail mobiles comme les ordinateurs portables, ou encore le renforcement de la procédure d’authentification.

C’est aussi l’occasion de sensibiliser vos salariés aux risques et enjeux en matière de protection des données personnelles, et plus largement sur les conséquences qu’un manque de vigilance pourrait avoir sur le système d’information de l’entreprise.

3- La revue de votre ou vos site(s) internet(s)

Concrètement, elle consiste par exemple à : s’assurer de l’utilisation et de la mise en œuvre du protocole TLS ; à s’assurer qu’aucun mot de passe ou identifiant ne circule dans les URL ; à vérifier que le bandeau de cookies permette le refus des cookies non strictement nécessaires ; mais aussi et surtout à s’assurer que la connexion au serveur est bien sécurisée (le fameux https) ; etc.

Dans le même temps, une revue de vos mentions légales et de votre politique de protection des données devra être faite. En la lisant, les utilisateurs devraient être informés entre autres sur l’identité du responsable de traitement, sur les droits dont ils disposent et quelles en sont modalités d’exercice. Étant précisé que vous devez impérativement les informer de leur droit de saisir la Commission Nationale de l’Informatique et des Libertés (CNIL). Il va sans dire qu’il vous faudra vous assurer qu’en interne, il existe une organisation mise en place afin d’assurer l’effectivité de l’exercice de ces droits.

4- L’anticipation des risques par l’analyse d’impact

Avec le recours intensifié au télétravail engendré par la crise du Covid-19, on assiste sans surprise à une hausse des actes de cybercriminalité. D’ailleurs, l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) a jugé utile de lancer un appel au renforcement des mesures de vigilance cybersécurité durant la crise du Covid-19 ; appel dans lequel elle a recommandé une liste de mesures non exhaustives.

Les risques dont il est question peuvent être des vols ou des fuites de données ; de l’hameçonnage ; des ransomwares, des faux ordres de virement, etc. S’ils venaient à se réaliser en impliquant des données personnelles, on serait alors en présence d’une violation de données, avec potentiellement des conséquences sur les droits et libertés des personnes. C’est pourquoi ces risques et les conséquences qui en découlent doivent être anticipés.

Le RGPD impose de mener une analyse d’impact sur la protection des données (AIPD), chaque fois qu’un traitement pourrait engendrer des risques élevés sur les droits et libertés des personnes. Il s’agit d’une étude au cours de laquelle vous devez :

  • dans un premier temps, présenter le traitement sous les aspects techniques et organisationnels ;
  • ensuite, vous devez évaluer la nécessité et la proportionnalité du ou des traitements en ce qui concerne les principes de protection des données (ex : respect de la finalité du traitement) et droits fondamentaux ;
  • enfin, vous devez évaluer les risques d’atteinte à la disponibilité, l’intégrité et la confidentialité des données, ainsi que leurs impacts potentiels sur la vie privée des personnes, afin de déterminer les mesures de sécurité les plus pertinentes à prévoir.

5- La revue des procédures de gestion de crise ou violation de données personnelles

La prévention ou l’anticipation des risques permet d’en éviter la réalisation, mais parfois s’avère insuffisante, et le risque finit par se réaliser. En cas de survenance d’une violation de données personnelles, vous devrez notifier la CNIL si la violation engendre des risques pour les droits et libertés des personnes. Cette notification doit être faite dans les 72 heures à compter du moment où vous en avez eu connaissance, ou que vous étiez censé en avoir connaissance. Si les risques engendrés sont élevés, vous devrez en outre informer les personnes concernées par la violation. Dans tous les cas, cet incident devra être renseigné dans un document, registre des violations.

Tout ceci suppose évidemment qu’une organisation interne (constitution d’équipe ou comité de gestion de crise) ait été mise en place au préalable. C’est précisément le rôle de la procédure de gestion des violations de données personnelles, qui complète le plan de continuité et de reprise d’activité. Si vous ne disposiez pas encore de tels documents, vous pouvez dès à présent entamer une réflexion sur la constitution de cette équipe, et la formalisation des procédures nécessaires.

6- La revue de la sous-traitance

Afin d’assurer une protection optimale des données personnelles tout au long de la chaîne de traitements entre les différents acteurs, (responsable de traitement, sous-traitant, sous-traitant ultérieur) le RGPD impose aux responsables de traitement de ne recourir qu’à des sous-traitants présentant des garanties suffisantes. La relation contractuelle doit donc être encadrée et les rôles et responsabilités de chacun clairement définis.

Cela se formalise par l’insertion de clauses dans les contrats, spécifiques à la protection des données personnelles. Ces clauses peuvent même prévoir la possibilité pour le responsable de traitement de vérifier la véracité des affirmations de son sous-traitant, notamment par un audit. On parle alors de clause d’auditabilité. Vous pouvez ainsi profiter du confinement ou de la baisse d’activité pour procéder à une revue / mise à jour de vos contrats de sous-traitance par la rédaction puis l’insertion de clauses dites RGPD.

7- L’accountability

Les actions décrites ci-dessus doivent toutes être documentées afin de constituer un dossier d’accountability présentant la mise en œuvre de vos traitements de données personnelles ; l’information des personnes ; les contrats entre votre entreprise et les autres acteurs intervenant dans le traitement des données. L’accountability ou responsabilisation en français est l’obligation pour les entreprises de mettre en œuvre des mécanismes et des procédures internes permettant de démontrer leur conformité à la réglementation en matière de protection des données personnelles.

Il vous revient de choisir la méthode qui vous semble le plus pertinente eut égard au mode de fonctionnement de votre structure, en gardant à l’esprit que lors d’un contrôle de la CNIL, chaque affirmation doit impérativement être soutenue par un élément de preuve.

8- Pratiques à éviter pendant la crise du Covid-19

Pendant la crise, nombreux sont les employeurs qui, sur le fondement des dispositions du code du travail (article L4121-1 qui impose à l’employeur de garantir la santé et la sécurité des salariés), ont demandé à leurs salariés de leur transmettre parfois à une fréquence journalière, des informations relatives à leur état de santé. Certaines entreprises ont même procédé à des relevés de température à l’entrée du lieu de travail.

Ces informations constituent des données sensibles au regard du RGPD, dont le traitement est par principe interdit, sauf exceptions limitativement énumérées. Or la lutte contre une pandémie ne fait pas partie de ces exceptions.

Pour remplir votre obligation au regard du code du travail, la CNIL recommande par exemple de sensibiliser et inviter les salariés à effectuer des remontées individuelles d’information les concernant en lien avec une éventuelle exposition, auprès des employeurs ou des autorités sanitaires compétentes. De même, afin de limiter la propagation du virus, le recours au télétravail lorsque la nature de l’activité le permettait, a été fortement encouragé par les pouvoirs publics.


Patrick Germain et Stella Manga Chesnay