Présences Grenoble
Numérique — Le 5 février 2019

Comment traiter les données dans votre entreprise ?

Yannick Châtelain, professeur associé à Grenoble École de management, résume en dix points les mesures à observer pour une bonne gouvernance data :

© AdobeStock
  1. Ne pas sous-estimer le fait que l’entreprise a une obligation de protéger et de sécuriser les données.
     
  2. Informer les collaborateurs que le recueil des données doit avoir un principe minimaliste, qu’ils ne doivent collecter, stocker et traiter des données que si elles sont indispensables à l’exécution de la prestation.
     
  3. Identifier tous les supports de stockage (papier, photo, cloud, serveur, ordinateurs…) des données et les personnes qui y ont accès. 
     
  4. Détruire définitivement toutes les données que l’entreprise n’a pas légitimité à conserver.
     
  5. Identifier et distinguer les données sensibles ou non sensibles, ce qui n’entraîne pas les mêmes obligations concernant leur stockage. Une donnée sensible est une donnée qui a elle seule permet l’identification d’une personne, comme un numéro de Sécurité sociale. Il y a nécessité d’un Data Protection Officer (DPO) si les données traitées sont sensibles, si l’entreprise atteint une certaine taille et fait de la surveillance de masse, si l’exploitation de ces data la conduit à prendre des décisions qui impactent le client.
     
  6. Identifier tous les process, toutes les activités, tous les traitements qui utilisent de la donnée, puis établir un registre des traitements. Cela permet d’établir une prévention des risques adaptée et d’identifier le responsable du traitement aux personnes concernées. 
     
  7. Respecter le principe de l’accord formel du particulier pour que ses données soient conservées par l’entreprise, et disposer d’une information sur la politique de confidentialité de l’entreprise et les usages qui pourront en être faits. En B to B, toutes sollicitations émises (mails commerciaux par exemple) doivent intégrer une possibilité de désinscription et/ou de suppression des données.
     
  8. Former tous ses collaborateurs (collecteurs, gestionnaires) ainsi que les dirigeants de l’entreprise aux bonnes pratiques de la sécurisation des données (par exemple précaution avec les appareils personnels et les clés USB…).
     
  9. Dans les contrats, informer le client de l’usage qui sera fait des données le concernant. 
     
  10. Insérer des clauses d’audit avec les prestataires, dès lors que des données sensibles leur sont confiées, pour s’assurer que la confidentialité est bien assurée. Et dans le cas de données non sensibles, demander au prestataire des justifications de sa conformité au RGPD.

Suivez-nous

Abonnez-vous

Abonnez-vous à nos newsletters S'abonner