GED et RGPD : comment gérer ses données ?

Entré en vigueur le 25 mai 2018, le RGPD (Règlement Général sur la Protection des Données) a pour vocation de protéger les données personnelles des utilisateurs d’internet. Les entreprises sont donc dans l’obligation de respecter les dispositions de ce règlement pour éviter les pénalités. Les systèmes de GED n’échappent pas à cette réglementation puisqu’ils permettent – entre autres – de gérer des données à caractère personnel des clients. Découvrons ce qu’il faut faire pour optimiser la conformité GED et RGPD !

Quelles sont les données concernées ?

Les données concernées par le RGPD sont celles à caractère personnel. En fait, la CNIL (Commission Nationale de l’Informatique et des Libertés de France) définit la donnée personnelle comme toute information permettant d’identifier directement ou indirectement une personne physique. En voici quelques exemples :

  • Nom et prénom
  • Numéro de téléphone
  • Email
  • Adresse postale
  • Date et lieu de naissance

Ainsi, le RGPD s’impose à toutes les entreprises et organisations qui gèrent des données personnelles, en les collectant, en les stockant ou en les traitant. Le non-respect de ce règlement expose l’organisation à des pénalités et à des amendes. Ces dernières peuvent atteindre 20 000 euros ou 4% du chiffre d’affaires annuel de l’entreprise. Pour éviter de telles sanctions, les organisations concernées doivent ainsi se mettre en conformité avec le RGPD.

Les exigences du RGPD

Avant tout, le RGPD s’applique à toutes les entreprises qui se situent au sein de l’Union Européenne ou qui sont en dehors de cet espace, mais qui vendent leurs biens et services dans des pays appartenant à l’UE.

Transparence :

Selon le RGPD, toute entreprise a l’obligation de traiter les données personnelles des internautes de manière transparente vis-à-vis de ces derniers.

Autrement dit, l’entreprise qui requiert les données personnelles d’ internautes est tenue de leur indiquer clairement quelle utilisation en sera faite.

Exploitation marquée :

Le traitement des données doit respecter l’accord initial obtenu de la part de l’internaute. L’entreprise n’a pas le droit d’utiliser ses données à des fins autres que celles que celui-ci a approuvées.

A cet égard, une nouvelle approbation doit avoir lieu dans le cas où une organisation prévoirait une autre manipulation des données personnelles que celle approuvée par l’internaute.

A titre d’exemple, lorsqu’un internaute cède son adresse email en donnant son accord pour recevoir une newsletter, l’entreprise n’a pas l’autorisation de l’utiliser à d’autres fins.

Minimum de données :  

Les entreprises sont tenues de limiter la collecte des données strictement nécessaires à l’utilisation destinée et consentie par le client.

Prenons l’exemple d’une newsletter envoyée par une entreprise à un prospect. En respect des règles RGPD, l’adresse postale est invalide car elle n’est aucunement requise pour l’exécution d’un envoi de mail, contrairement aux données suivantes : adresse email, nom et prénom.

Données exactes :

L’entreprise n’a pas le droit de modifier les données fournies par l’internaute sans son accord préalable.

Après utilisation, les internautes doivent pouvoir réclamer la rectification et même la suppression de ces données.

Données non valables :

Les données ont une durée de validité définie par le RGPD. La durée de stockage et d’exploitation des données doit être explicitement mentionnée avant que l’internaute ne donne son accord. Une fois ce délai dépassé, l’entreprise est tenue de supprimer ces données.

Données confidentielles :

En plus de s’assurer que toutes les données détenues sont tenues confidentielles et sécurisées, les entreprises doivent se doter d’autres procédures de renfort sécuritaire pour minimiser les risques de mauvaise manipulation, de perte ou de vol électronique.

Ici, les entreprises devront dévoiler des garanties importantes en termes de sécurité et de confidentialité des données, spécialement sur l’archivage de certains documents comme les contrats ou bien les documents relatifs aux ressources humaines.

Implication :

Les entreprises sont tenues de s’assurer que leurs pratiques soient conformes au RGPD. A cet égard, elles peuvent nommer un Data Protection Officer (DPO). Ce dernier assure la protection des données et s’assure qu’on respecte le RGPD en toutes circonstances.

Envie d’aller plus loin ?

GED et RGPD : pour la protection des données

La mise en conformité vis-à-vis du RGPD peut avoir de nombreux impacts sur les équipements informatiques et processus métier de l’entreprise. Ainsi, l’intégration d’un logiciel de GED peut s’avérer très bénéfique en termes de protection et de gestion des données.

Découvrons ensemble les effets de cette parfaite alliance formée par la GED et le RGPD.

La GED, késako ?

Commençons d’abord par la définir : la GED, ou Gestion Electronique de Document, désigne une solution informatique qui vise le stockage, la gérance et la sécurité d’un panel de données. En d’autres termes, la GED permet la numérisation, le classement et l’exploitation des documents en toute simplicité et sécurité.   

On peut distinguer deux grands volets : d’une part la dématérialisation des documents (factures, devis, dossiers RH, etc.) et d’autre part l’archivage numérique.

Ces solutions permettent parfois de traiter les données via des systèmes de reconnaissance automatique de documents, à l’instar de la LAD/RAD.

Par ailleurs, l’accès aux documents peut être contrôllable par la GED à travers un coffre-fort numérique, garantissant une meilleure visibilité et exploitation des données de la part des collaborateurs qui en ont la permission.

La GED est la solution de traçabilité idéale pour tout échange de document et donnée personnelle.

Spécificités de la relation GED et RGPD

La solution de GED, en sa qualité de plateforme qui centralise tous les documents internes de l’entreprise, peut grandement faciliter la mise en conformité vis-à-vis du RGPD.

De nombreux avantages peuvent en effet en découler, du contrôle d’accès aux documents à la traçabilité en passant par l’émergence de nouveaux modes collaboratifs. Autant de pratiques qui visent à l’amélioration et à la sécurisation des données, et dont certains peuvent être considérés comme des processus internes inaltérables.

De plus, la GED facilite le classement des données personnelles des prospects et clients.

La GED peut par ailleurs vous aider à établir l’inventaire de toutes les données en votre possession. Une manière efficace de s’assurer que l’on a bien la main sur les données personnelles collectées, et que celles-ci sont valides et utilisables au regard des délais légaux fixés par le RGPD.

Au final, la traçabilité des données assurée par une solution GED peut permettre d’automatiser l’annulation des données arrivant à leur échéance.

Numexo vous accompagne pour la mise en conformité de votre gestion des données

Pour vous accompagner dans votre démarche RGPD à travers la GED, les conseils d’experts seront de mise: Numexo vous accompagne durant toutes les étapes de votre projet de dématérialisation et de mise en place de systèmes GED adaptés à vos besoins.