Le RGPD, ce nâest pas juste une histoire de cookies ou de politique de confidentialitĂ©. Câest aussi â et surtout â une question de pratiques quotidiennes : au bureau, dans les mails, Ă la RH, Ă la paie… et mĂȘme Ă la machine Ă cafĂ© si on Ă©coute bien.
â Commençons par une scĂšne (presque) banale
đ « Tu peux me scanner la carte d’identitĂ© de Jean-Michel pour son badge dâaccĂšs ? »
đ « Oui, je la stocke dans le dossier partagĂ© \COMMUN\RH avec les autres, câest plus simple. »
đŹ « Et nâoublie pas de transfĂ©rer le bulletin de paie de Julie au chef dâĂ©quipe, il veut vĂ©rifier ses heures supâ. »
âĄïž Trois violations RGPD. En moins de 10 minutes.
đ©âđŒ DonnĂ©es perso : ce que ça implique en entreprise
Le RGPD ne concerne pas que les DSI ou les sites web. Il touche toutes les fonctions : RH, finance, juridique, logistique⊠dĂšs quâil y a manipulation de donnĂ©es personnelles.
đ Quelques cas concrets (et rĂ©alistes)
| đ Situation | â Ce qui ne va pas | â Bonne pratique |
|---|---|---|
| RH scanne la carte dâidentitĂ© et la stocke sur un partage rĂ©seau commun | Pas de restriction dâaccĂšs, durĂ©e de conservation floue | RĂ©pertoire sĂ©curisĂ©, accĂšs limitĂ©, suppression aprĂšs usage |
| Envoi dâun bulletin de paie par mail sans chiffrement | Risque de fuite, erreur de destinataire | Envoi via portail sĂ©curisĂ© ou zip chiffrĂ© avec mot de passe |
| Affichage dans le couloir des objectifs commerciaux avec les noms | Identification directe de personnes = donnée personnelle | Afficher les résultats par équipe ou avec des pseudonymes |
| Responsable qui garde un fichier Excel des arrĂȘts maladie dans sa boĂźte mail | Conservation excessive, mauvaise protection | Fichier dans un dossier sĂ©curisĂ© avec durĂ©e de rĂ©tention |
| CV imprimé laissé sur un bureau en open space | Donnée exposée à tous | Collecte centralisée, destruction aprÚs traitement |
đ Et non, « tout le monde fait ça » nâest pas une base lĂ©gale RGPD.
đź RGPD : un rĂ©flexe de tous les instants
âïž Ă intĂ©grer dans vos pratiques :
- Vérifiez si une info est une donnée personnelle
- Ne conservez que ce qui est nécessaire, et pas plus longtemps que nécessaire
- Encadrez les accĂšs (pas de dossier « RH_COMMUN_LIBRE_ACCĂS »âŠ)
- Sensibilisez vos collĂšgues, surtout ceux qui manipulent des infos sensibles (RH, managers, chefs dâĂ©quipe)
- Documentez (mĂȘme une simple procĂ©dure de suppression automatique dans Outlook, ça compte)
đ§ Quelques erreurs classiques (et Ă©vitables)
On Ă©vitera :
- Copier le CV dâun candidat dans un mail pour le forwarder au manager
- â Non autorisĂ© sans son accord explicite
- Envoyer des convocations Ă lâentretien disciplinaire Ă toute la DRH
- â Non pertinent, donnĂ©es sensibles, violation potentielle
- Partager un fichier Excel des salariés avec leur statut médical (RQTH)
- â ïž DonnĂ©es de santĂ© = donnĂ©es particuliĂšrement sensibles â encadrement strict
- Conserver indéfiniment les justificatifs de domicile
- â En gĂ©nĂ©ral, durĂ©e max de conservation = 1 an
𧰠Comment se mettre en conformité (progressivement)
| Ătape | Action |
|---|---|
| 1ïžâŁ | Faire un mini audit des donnĂ©es manipulĂ©es dans chaque service |
| 2ïžâŁ | Identifier les traitements inutiles ou disproportionnĂ©s |
| 3ïžâŁ | Mettre en place des process simples mais clairs : suppression, archivage, chiffrement |
| 4ïžâŁ | Utiliser des outils sĂ©curisĂ©s : coffre-fort numĂ©rique, partage chiffrĂ©, mots de passe |
| 5ïžâŁ | Sensibiliser tous les collaborateurs via des exemples concrets comme ceux ci-dessus |
đĄ Tu veux faire peur utilement ? Parle dâamende de 4% du CA. En gĂ©nĂ©ral, ça calme tout le monde.
đŻ Le mot de la fin
La mise en conformitĂ© RGPD ne se rĂ©sume pas Ă un document de 40 pages rĂ©digĂ© par un juriste. Elle commence dans les gestes simples du quotidien : ce que lâon partage, Ă qui, comment, et pourquoi.
Et surtout : si on nâa pas de raison valable de conserver une donnĂ©e, on la supprime.
(Oui, mĂȘme si elle est bien rangĂ©e dans un beau dossier « à traiter plus tard ».)
