Le règlement général sur la protection des données (RGPD) est un règlement européen adopté le 27 avril 2016. Ce texte a posé, dans tous les pays de l’Union européenne, un nouveau cadre juridique, afin de protéger les données personnelles des citoyens européens et d’amener les entreprises à effectuer le traitement de ces données selon des processus sécurisés.
En France, ce nouveau règlement européen s’inscrit dans la continuité de la loi « Informatique et Libertés » de 1978 et s’applique depuis le 25 mai 2018 à toute organisation, publique et privée, quelle que soit sa taille (entreprise, ministère, administration, collectivité, association, etc.).
Une entreprise est donc concernée par le RGPD dès lors qu’elle est amenée, de par son activité, à collecter et à traiter des données personnelles.
Constitue une donnée personnelle toute information qui permet d’identifier une personne physique directement (nom, prénom, photo, vidéo, etc.) ou indirectement (numéro client, numéro de sécurité sociale, adresse IP, carte de paiement, numéro de téléphone, etc.).
Le traitement de données personnelles fait référence à toute action effectuée sur des données personnelles, quel que soit le procédé utilisé.
Collecter des informations via un questionnaire, conserver un bordereau d’inscription, modifier une fiche de renseignements, consulter un formulaire de contact, mettre à jour d’un fichier fournisseurs, enregistrer d’une base de données, mettre en place d’un système de vidéosurveillance, etc..
Par conséquent, il semble pertinent de vous poser les questions suivantes : Comment se mettre en conformité avec le RGPD ? Comment garder un bon niveau de conformité ?
1 – Comment se mettre en conformité avec le RGPD ?
La Cnil recommande 4 actions principales à mener pour une mise en conformité au RGPD.
1) Recenser l’ensemble des traitements de données collectées dans l’entreprise dans un registre des activités de traitement
Cela revient, pour chaque traitement de données personnelles, à se poser les questions suivantes : Qui ? Quoi ? Pourquoi ? Où ? Jusqu’à quand ? Comment ?
Le registre des activités de traitement (dont un modèle est mis à disposition par la CNIL) permet d’identifier précisément :
- les personnes qui interviennent dans le traitement des données personnelles ;
- les catégories de données traitées ;
- l’utilisation qui est faite de ces données ;
- les personnes autorisées à accéder à ces données ;
- les personnes à qui les sonnées sont communiquées ;
- la durée de conservation de ces données ;
- les mesures de sécurité mises en place.
Les entreprises de moins de 250 salariés ne doivent inscrire sur ce registre que les traitements :
- non occasionnels (gestion de la paie, fichiers clients, fichiers fournisseurs, etc.) ;
- susceptibles de comporter un risque pour les droits et libertés des personnes (vidéosurveillance, géolocalisation, etc.) ;
- qui portent sur des données sensibles.
2) Faire le tri dans les données traitées
Ce tri permet de vérifier que les données traitées sont bien nécessaires à l’activité et que des données sensibles ne sont pas collectées.
3) Obtenir le consentement des personnes concernées et respecter leurs droits sur leurs données personnelles
L’un des objectifs principaux du RGPD est de faire respecter les droits des personnes sur leurs propres données.
En effet, les personnes doivent être informées de l’utilisation qui sera faite de leurs données personnelles, donner leur consentement à leur traitement et être en mesure d’exercer facilement leurs droits.
C’est pourquoi, à chaque fois que des données personnelles sont collectées, le support utilisé (formulaire, questionnaire, etc.) doit comporter certaines informations :
• identité et coordonnées du responsable du traitement (ou de son représentant) ;
• finalités du traitement effectué ;
• base juridique du traitement ;
• destinataires des données ;
• durée de conservation des données ;
• droit d’introduire une réclamation auprès d’une autorité de contrôle.
Une clause concernant le traitement des données personnelles devra être insérée dans le Règlement intérieur de l’entreprise, dans le contrat de travail de chaque salarié et dans les contrats commerciaux.
Par ailleurs, chaque personne doit pouvoir demander facilement à l’entreprise (sur simple mail, par exemple) d’exercer son droit à l’oubli, droit de rectification, ou droit d’accès, etc.
4) Prendre les mesures nécessaires pour appliquer la loi RGPD
Pour appliquer le RGPD, vous devez prendre certaines mesures :
- mettre en place les nouveaux outils et les nouvelles procédures nécessaires à l’application du RGPD ;
- former les colleborateurs sur le RGPD ;
- revoir les contrats établis afin d’en garantir la conformité ;
- veiller à la sécurité des systèmes d’information ;
- assurer la confidentialité et la sécurité des données en mettant en place des dispositifs de traçabilité des consultations des données archivées ;
- réserver l’accès aux données uniquement aux personnes désignées ou à des tiers qui détiennent une autorisation spéciale et ponctuelle ;
- fixer une durée raisonnable de conservation des données personnelles.
En cas de non-conformité ou de non-respect du RGPD, un certain nombre de sanctions sont prévues. Elles varient en fonction de la gravité des violations relevées par la Cnil : avertissement, sanctions pécuniaires pouvant atteindre 2 % à 4 % du chiffre d’affaires annuel mondial de l’exercice précédent, injonction de cesser le traitement ou retrait d’une autorisation accordée par la Cnil.
Les sanctions pénales peuvent aller jusqu’à 5 ans d’emprisonnement et 300 000 euros d’amende.
2 – Comment maintenir une bonne conformité au RGPD ?
Pour maintenir une bonne conformité de votre entreprise au RGPD, il est d’abord nécessaire de tenir et mettre à jour régulièrement le registre de traitement de données. Cela permet de suivre la conformité dans le temps et de permettre aux organismes d’établir des plans d’actions pour assurer cette conformité.
Il est ensuite essentiel de veiller constamment à la sécurité informatique des données : l’entreprise est tenue à une obligation légale de sécurité des données personnelles qu’elle détient afin de se prémunir des risques de pertes ou aux défauts techniques. Pour cela, vous devez périodiquement mettre à jour les logiciels et antivirus, changer de mots de passe régulièrement en respectant leurs règles de complexité, protéger le Wifi avec un chiffrement WEP et verrouiller automatiquement les sessions après un certain temps. Enfin, l’accès aux données doit être limité aux seules personnes dont les missions le justifient.
Tout incident compromettant l’intégrité des données personnelles doit être officiellement déclarée à la CNIL, sous 72 heures.
Vous devez également trier régulièrement les données collectées. Les données personnelles non nécessaires au traitement doivent être supprimées ou anonymisées. Il en va de même pour les données personnelles dont le délai de conservation est dépassé, ou les données personnelles dites « sensibles » (origine raciale ou ethnique, opinions politiques, croyances religieuses, adhésion à un syndicat, données génétique, etc.).
Enfin, vous devez créer un poste de data protection officer (DPO), qui aura pour mission de sécuriser les données personnelles (réception, stockage, conservation, etc.) traitées par l’entreprise, et de contrôler la conformité de l’entreprise au RGPD.
Auteur : Laurence Ruaux, juriste en droit social
Vous adorez cet article ?
Pour être sûr de ne rien rater, recevez par e-mail chaque mois gratuitement tous les articles incontournables des dernières semaines en vous inscrivant à la newsletter.
