Le RGPD, ce n’est pas juste une histoire de cookies ou de politique de confidentialité. C’est aussi — et surtout — une question de pratiques quotidiennes : au bureau, dans les mails, à la RH, à la paie… et même à la machine à café si on écoute bien.
☕ Commençons par une scène (presque) banale
📎 « Tu peux me scanner la carte d’identité de Jean-Michel pour son badge d’accès ? »
📂 « Oui, je la stocke dans le dossier partagé \COMMUN\RH avec les autres, c’est plus simple. »
📬 « Et n’oublie pas de transférer le bulletin de paie de Julie au chef d’équipe, il veut vérifier ses heures sup’. »
➡️ Trois violations RGPD. En moins de 10 minutes.
👩💼 Données perso : ce que ça implique en entreprise
Le RGPD ne concerne pas que les DSI ou les sites web. Il touche toutes les fonctions : RH, finance, juridique, logistique… dès qu’il y a manipulation de données personnelles.
📌 Quelques cas concrets (et réalistes)
| 📂 Situation | ❌ Ce qui ne va pas | ✅ Bonne pratique |
|---|---|---|
| RH scanne la carte d’identité et la stocke sur un partage réseau commun | Pas de restriction d’accès, durée de conservation floue | Répertoire sécurisé, accès limité, suppression après usage |
| Envoi d’un bulletin de paie par mail sans chiffrement | Risque de fuite, erreur de destinataire | Envoi via portail sécurisé ou zip chiffré avec mot de passe |
| Affichage dans le couloir des objectifs commerciaux avec les noms | Identification directe de personnes = donnée personnelle | Afficher les résultats par équipe ou avec des pseudonymes |
| Responsable qui garde un fichier Excel des arrêts maladie dans sa boîte mail | Conservation excessive, mauvaise protection | Fichier dans un dossier sécurisé avec durée de rétention |
| CV imprimé laissé sur un bureau en open space | Donnée exposée à tous | Collecte centralisée, destruction après traitement |
😅 Et non, « tout le monde fait ça » n’est pas une base légale RGPD.
👮 RGPD : un réflexe de tous les instants
✔️ À intégrer dans vos pratiques :
- Vérifiez si une info est une donnée personnelle
- Ne conservez que ce qui est nécessaire, et pas plus longtemps que nécessaire
- Encadrez les accès (pas de dossier « RH_COMMUN_LIBRE_ACCÈS »…)
- Sensibilisez vos collègues, surtout ceux qui manipulent des infos sensibles (RH, managers, chefs d’équipe)
- Documentez (même une simple procédure de suppression automatique dans Outlook, ça compte)
🧠 Quelques erreurs classiques (et évitables)
On évitera :
- Copier le CV d’un candidat dans un mail pour le forwarder au manager
- ❌ Non autorisé sans son accord explicite
- Envoyer des convocations à l’entretien disciplinaire à toute la DRH
- ❌ Non pertinent, données sensibles, violation potentielle
- Partager un fichier Excel des salariés avec leur statut médical (RQTH)
- ⚠️ Données de santé = données particulièrement sensibles → encadrement strict
- Conserver indéfiniment les justificatifs de domicile
- ❌ En général, durée max de conservation = 1 an
🧰 Comment se mettre en conformité (progressivement)
| Étape | Action |
|---|---|
| 1️⃣ | Faire un mini audit des données manipulées dans chaque service |
| 2️⃣ | Identifier les traitements inutiles ou disproportionnés |
| 3️⃣ | Mettre en place des process simples mais clairs : suppression, archivage, chiffrement |
| 4️⃣ | Utiliser des outils sécurisés : coffre-fort numérique, partage chiffré, mots de passe |
| 5️⃣ | Sensibiliser tous les collaborateurs via des exemples concrets comme ceux ci-dessus |
💡 Tu veux faire peur utilement ? Parle d’amende de 4% du CA. En général, ça calme tout le monde.
🎯 Le mot de la fin
La mise en conformité RGPD ne se résume pas à un document de 40 pages rédigé par un juriste. Elle commence dans les gestes simples du quotidien : ce que l’on partage, à qui, comment, et pourquoi.
Et surtout : si on n’a pas de raison valable de conserver une donnée, on la supprime.
(Oui, même si elle est bien rangée dans un beau dossier « à traiter plus tard ».)
