RGPD : Quelques exemples concrets de risques à analyser lorsqu’on fait un état des lieux

RGPD : Quelques exemples concrets de risques à analyser lorsqu’on fait un état des lieux

Voici quelques cas concrets sur l’usage des données personnelles que vous rencontrerez dans votre vie personnelle et professionnelle.

Il est important, pour vous, comme pour votre entreprise de protéger les données personnelles, les vôtres, mais également celle de vos salariés, de vos fournisseurs, de vos clients et autres partenaires.

Par ailleurs, depuis le 25 mais 2018, le RGPD impose des règles strictes en matière de gestion et de protection des données personnelles au niveau des organisations.

 

La collecte de cartes de visites

Je récupère une carte de visite lors d’un entretien, sur un salon, ou lors de réseautage, que vais-je en faire ? La conserver : pourquoi ? et pendant combien de temps ? L’ajouter à ma base de contacts : dans quel but ? Ai-je l’accord de son propriétaire ? Combien de temps vais-je conserver les données ? Sur quel(s) support(s) ? Quels sont les moyens que je mets en place pour protéger ces données ? Quelles actions puis-je mener en cas de perte ou de vol de données ? Autant de questions à se poser. 

La carte pour la machine à café. 

Cela a l’air anodin, mais le numéro de carte est rattaché à un propriétaire qui peut être identifiable dans une base de données, même si n’a pas de nom dessus. Qui a accès à cette base de données ? Comment est-elle protégée ? Combien de temps ces données sont-elles conservées ? 

Les données d’un salarié dans l’entreprise 

Aujourd’hui, un salarié peut demander un dédommagement, pour une maladie professionnelle ou une aggravation de son état de santé consécutive à un accident du travail,  plusieurs années après. C’est le cas pour l’amiante, la silicose, et autres maladies, sans parler des TMS ou autres maladies psychiques. 

Cela signifie, que l’entreprise peut être renvoyée devant un juridiction parfois quelques décennies plus tard avec la remise en cause des conditions de travail.

Donc se pose la question de la conservation du dossier du salarié (contrats et avenants, fiches de paie, arrêts de travail, correspondances, certificat de la médecine du travail…) et de la protection des données qui sont à l’intérieur. 

Le fichier Excel des petits hébergeurs 

Certains hébergeurs ont un fichier contenant l’ensemble des renseignements sur les clients : nom, prénom, adresse, tel, mail, et même parfois numéro de carte bancaire en clair (alors que c’est interdit par le consortium des cartes bancaires SECURE 3D)

Cet ordinateur sert à tous les membres de la famille et potentiellement peut être vérolé. 

Quid de la sécurité des données ! Qui peut accéder aux données ? Comment ? Pendant combien de temps ? Le prospect / client est-il au courant des informations dans ce fichier ? A-t-il donné son accord par écrit ? 

La réparation d’un ordinateur par un prestataire 

Lorsque je donne mon ordinateur à réparer par un professionnel, ou lorsque je demande à un professionnel d’assurer la maintenance de mon réseau informatique, il a potentiellement accès à toutes les données de l’entreprise. Est-il en conformité avec le RGPD ? A-t-il accès à des données “en clair” ? Que risque-t-il de faire de ces données ? Comment protéger les données ? 

Il en est de même avec le responsable informatique de l’entreprise. Il doit être en mesure de répondre des traitements qu’il effectue, de la conservation et de la protections des données de l’entreprise, cela doit figurer dans son contrat de travail. 

Le télétravail de l’un des collaborateurs 

Un collaborateur, pour des raisons tout à fait louable, décide de travailler à partir de son domicile. Avec quel ordinateur ? Celui du bureau ? Son ordi personnel ? Celui du petit dernier qui est à l’école ? Quelles traces les données traitées laisseront-elles sur le disque dur de l’ordinateur ? Si le petit dernier utilise l’ordinateur pour jouer (en ligne) et télécharger des choses, n’y a-t-il pas un risque de contamination des documents ? des fichiers échangés avec l’entreprise ? du serveur de l’entreprise ? 

La gestion des certificats médicaux dans un club sportif

Outre la liste des membres et autres adhésions, il n’est pas rare de voir traîner les certificats médicaux des membres dans les locaux de l’association. Or, un certificat médical est réputé être un document sensible. Ensuite, lors des compétitions, il est souvent transféré aux organisateurs qui, de fait, deviennent co-traitants de l’information puisqu’ils transmettent ensuite à la Fédération et à la Ligue. Donc, le dirigeant du club et son bureau doivent réfléchir au problème : Qui a accès aux adhésions ? à la liste des membres ? aux certificats médicaux ? Comment les stocker ? Comment les archiver ? Où ? Pour combien de temps ?

Quels traitements des données ? Dans quel but ? Quels risques y a-t-il dans le cadre d’un envoi d’info à un organisateur ? à la Fédé ? à la Ligue ? Comment gérer ces risques ? Quelles procédures mettre en place ? 

Les dossiers médicaux papier d’un médecin dans son cabinet

Le cabinet est composé de deux pièces : la salle de consultation et la salle d’examen. Dans la salle de consultation, le médecin reçoit son patient pour un premier diagnostic. A côté de lui, une étagère avec les dossiers médicaux des patient, sous forme d’une pochette avec un nom et un prénom, à la vue de tous. Lorsque c’est une famille qui vient consulter pour un enfant, souvent au moins l’un des parents reste dans cette pièce pendant l’examen. Il peut potentiellement avoir accès aux dossiers médicaux. Pourquoi ces dossier ne sont-ils pas dans une armoire ? Tous les patients viennent-ils encore consulter ? Ou bien certains dossiers sont-ils obsolètes (et devraient être archivés) ? Où et comment archiver ? Quand archiver ? Procédure de reprise d’un dossier ? Comment communiquer avec les confrères ?

Sécurité des données médicales ? Liens avec la CPAM et autres organismes de sécurité sociale ? Quid du dossier médical personnel (DMP) associé à la Carte Vitale…

Formateur, webmaster, référenceur et coach à | Site Web

Formateur en communication digitale
Créatrice et référenceur de sites WordPress
Photographe Google Street View Trusted

Laisser un commentaire