Din 2018, RGPD îi face pe micii patrani să tremure. Există povești despre amenzi de 20 de milioane de euro care circulă și paralizează micii șefi care se gândesc „sunt gata, nu sunt în conformitate".
Realitatea este mai simplă. CNIL nu a sancționat niciodată o mică întreprindere care depune un efort rezonabil de conformitate. Se attacă giganților web, întreprinderilor care vând date personale, recidivistilor. Nu lacheului care are un fișier Excel cu clienți.
Asta nu vă scapă de a-și face partea. Dar nivelul de efort este cu ușurință gestionabil.
5 acțiunile care acoperă 80% din obligațiile voastre
Acțiunea 1: registrul de prelucrări (baza)
Este documentul central al RGPD. Listează datele personale pe care le colectați, de ce și cât timp le păstrați.
Pentru o mică întreprindere tipică, încape pe o pagină:
| Prelucrare | Date colectate | Scop | Durată de păstrare |
|---|---|---|---|
| Fișier clienți | Nume, email, telefon, adresă | Gestionarea comercială | 3 ani după ultimul contact |
| Contabilitate | Nume, adresă, n° factură | Obligație legală | 10 ani |
| Salarizare (dacă salariați) | Date civile, n° SS, RIB | Gestionarea salariilor | 5 ani după plecare |
| Site web | Cookie-uri, IP, formular contact | Marketing, analytics | 13 luni (cookie-uri), 3 ani (formular) |
| Newsletter | Comunicare | Până la dezabonare |
CNIL propune un model gratuit pe site-ul său. Completați-l în 30 de minute și actualizați-l o dată pe an.
Acțiunea 2: informarea persoanelor
Trebuie să informați persoanele ale căror date le colectați. În practică:
-
Pe site-ul vostru: o pagină „Politica de confidențialitate" (sau „Protecția datelor") accesibilă din footer. Descrieți în limbaj simplu ce date colectați, de ce, cât timp le păstrați și cum să-și exercite drepturile.
-
Pe formularele voastre: o propoziție sub fiecare formular de contact: „Datele colectate sunt utilizate pentru a răspunde la cererea dvs. Puteți să-și exercite drepturile contactându-ne la [email]. Consultați politica noastră de confidențialitate."
-
Pentru salariații voștri: un document predat la angajare listând datele colectate în contextul relației de muncă.
Acțiunea 3: gestionarea cookie-urilor
Dacă site-ul vostru folosește cookie-uri de măsurare a audiență (Google Analytics, Matomo) sau publicitate, trebuie să obțineți consimțământul explicit al vizitatorului ÎNAINTE de a depune aceste cookie-uri.
Acțiunea: instalați o bandă de cookie-uri conformă. Soluțiile gratuite ca Tarteaucitron.js sau Cookiebot (gratuit până la 100 de pagini) fac treaba.
Excepție: cookie-urile strict necesare pentru funcționarea site-ului (autentificare, coș de cumpărături) nu necesită consimțământ.
Alternativă: folosiți Matomo în configurație „exceptată de consimțământ" (declarație CNIL). Vă păstrați analytics fără bandă de cookie-uri.
Acțiunea 4: securitatea datelor
RGPD impune protejarea datelor personale cu „măsuri tehnice și organizatorice corespunzătoare". Pentru o mică întreprindere, asta înseamnă:
- Parole robuste și unice (consultați articolul de cibersecuritate)
- Actualizări de securitate aplicate
- Backup-uri regulate
- Acces restricționat la date (nu toată lumea accesează tot)
- Criptare a computerelor portabile
Nu este nici mai mult nici mai puțin decât buna practică de cibersecuritate pe care ar trebui s-o aplicați oricum.
Acțiunea 5: gestionarea drepturilor persoanelor
RGPD le acordă persoanelor drepturi asupra datelor lor: acces, rectificare, ștergere, portabilitate. În practică, micile întreprinderi primesc foarte puține cereri de acest tip.
Acțiunea: desemnați un contact (dvs. sau un colaborator) și o adresă de email de contact (tip date@ntreprinderea-voastră.fr). Când primește o cerere, răspundeți în termen de o lună. Gata.
Ce poate aștepta
DPO (delegatul pentru protecția datelor) — obligatoriu doar pentru întreprinderile care prelucrează date la scară largă sau date sensibile. O mică întreprindere de 5 persoane nu are nevoie de DPO.
Analiza de impact (AIPD) — obligatorie doar pentru prelucrări cu risc înalt (videosupraveghere la scară largă, profilare sistematică, date de sănătate). Fișierul clienți al tâmplarului vostru nu este o prelucrare cu risc înalt.
Certificarea RGPD — nicio certificare nu este obligatorie. Întreprinderile care vă vând „certificări RGPD" exploatează frica. Conformitatea este un proces continuu, nu o etichetă.
În caz de încălcare a datelor
Dacă datele personale se scurg (piratare, pierdere de stick USB, email trimis destinatarului greșit), aveți 72 de ore pentru a notifica CNIL dacă încălcarea prezintă un risc pentru persoane.
Formularul de notificare este online pe site-ul CNIL. Completați-l cu sinceritate: ce s-a întâmplat, câte persoane sunt afectate, ce măsuri ați luat.
CNIL este mai indulgentă cu o întreprindere care notifică rapid decât cu o întreprindere care ascunde incidentul.
RGPD nu este un monstru birocratic pentru micile întreprinderi. Este un cadru de bun-simț: protejați datele clienților voștri așa cum ați dori să vă fie protejate datele voastre.