Les employés sont la force vive de toute entreprise prospère. C’est pourquoi investir dans la formation des employés est l’un des meilleurs gestes que vous puissiez faire. Avec l’avènement du RGPD, la formation de vos employés sur les questions liées à la vie privée est devenue presque obligatoire. Voici quelques conseils pour savoir sur quoi axer votre formation :
1. Traiter les demandes d’informations personnelles
Le RGPD stipule que les individus ont le droit d’obtenir une copie de toutes les informations personnelles que votre entreprise détient sur eux. Vous devez avoir ces informations facilement accessibles, étiquetées et stockées en toute sécurité.
Cependant, cela ne s’arrête pas là. Votre personnel doit être sensibilisé au fait qu’il est tenu de répondre à toutes les demandes raisonnables. Une rgpd formation peut être utile à cet effet.
Vous devez fournir aux individus une copie dans un mois, gratuitement, sauf si les demandes sont onéreuses et répétitives. Dans ce dernier cas, informez votre personnel qu’il a le droit de refuser de répondre, mais il doit informer l’individu de son droit de recours.
L’identité de l’individu doit être vérifiée et référencée par rapport aux données en votre possession. Cela peut se faire via des scans d’identité, des questions de sécurité et autres. Lorsque vous fournissez des données, faites-le dans un format communément utilisé si les données sont sous forme électronique. Toutefois, ils doivent veiller à ne pas fournir de données relatives à d’autres personnes sans leur autorisation explicite.
2. Hameçonnage
Avertissez vos employés de ne pas divulguer d’informations personnelles sur l’un de vos clients ou utilisateurs à quiconque par téléphone. Comme pour le point précédent, vous devez mettre en place un mécanisme de vérification d’identité qui sera utilisé pour vérifier l’identité des appelants.
Parfois moins évidentes, ces vérifications sont également nécessaires lors des appels sortants. On ne sait jamais si le numéro de téléphone d’une personne a été modifié ou si un téléphone a été volé. La communication écrite est reine : évitez de donner ou de recevoir des informations personnelles par téléphone.
La naïveté est la condition préalable au vol d’identité. Apprenez à vos employés à rester en sécurité en ligne.
3. Traiter avec les clients
Il est de la plus haute importance de tenir vos clients et utilisateurs à jour concernant l’utilisation de leurs données. Les clients ont le droit de mettre à jour leurs données. Votre personnel doit leur permettre de mettre à jour leurs dossiers à tout moment, notamment leurs préférences en matière de marketing, c’est-à-dire les options de refus.
Veillez à obtenir le consentement avant de collecter et de traiter leurs données. Vous devez préparer des formulaires de consentement au préalable et exiger un opt-in explicite pour les clients (lors des inscriptions en ligne, par exemple). Vous pouvez également demander à votre personnel de supprimer les données lorsqu’elles ne sont plus nécessaires (comme cela devrait être souligné dans votre politique de sécurité).
Pour plus d’informations sur les 8 principes du RGPD, se rendre sur la page suivante.
4. Sauvegarde des données personnelles
Vous pouvez rendre obligatoire le changement régulier des mots de passe, par exemple tous les 3 mois. Faites attention à ne pas faire ces changements trop souvent, car le personnel aura tendance à noter les mots de passe. Imposez l’obligation de se déconnecter de son poste de travail lorsqu’on n’est pas physiquement présent au bureau pour éviter tout accès non autorisé.
Installer des programmes anti-spam et anti-virus est utile, mais éduquer votre personnel à ne pas ouvrir des pièces jointes d’origine douteuse l’est tout autant.
Les données physiques doivent également faire l’objet d’une attention particulière. Veillez à déchiqueter les documents sensibles qui ne sont plus nécessaires. Lorsque vous supprimez des données personnelles, assurez-vous que vous avez également détruit les copies physiques.
5. Signalement des violations
Ne pas signaler une violation qui s’est produite dans les 72 heures est une violation grave du RGPD justifiant une amende substantielle. Informez vos employés que la déclaration de toute violation aux autorités de surveillance est obligatoire dès que la violation est détectée.
Ils doivent noter tous les détails pertinents concernant la déclaration et conserver les enregistrements dans un endroit sûr. Cela aidera dans le cas d’une enquête plus approfondie par l’autorité de réglementation.
6. Évaluation des risques
Le domaine dans lequel la plupart des petites entreprises manquent d’expertise, mais qui est incroyablement important pour l’efficacité globale et le bon fonctionnement de vos activités de traitement des données, est l’évaluation des risques. Le principe de base est simple : toutes les données ne sont pas également sensibles ou précieuses, donc certaines justifient un traitement spécial. D’autres données, en revanche, ne nécessitent qu’un niveau de sécurité de base, car leur perte ne présenterait pas de problèmes graves, même en cas de violation.