Le règlement européen du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (le RGPD) est entré en vigueur le 25 mai 2018. Celui-ci a dévoilé et attiré l’attention de tous sur l’importance et la marchandisation des données collectées et traitées par les professionnels quel que soit leur secteur d’activité.

En effet, il a modifié en profondeur la loi du 6 janvier 1978 [i] dite informatique et liberté, réaffirmé les droits des personnes et redessiné les obligations des collecteurs.

 

« La protection des personnes physiques à l’égard du traitement des données à caractère personnel est un droit fondamental ». (Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 considérant 1)

 

Par conséquent, après une période d’adaptation et d’œuvre pédagogique, les sanctions sont désormais plus largement appliquées et le nombre de plaintes est en hausse.

Avez-vous pris le temps de recenser, évaluer, protéger les données à caractère personnel que vous collectez ?

Avez vous informez les personnes concernées sur les traitements mis en œuvre et leurs droits ?

Si vous vous êtes passé au travers de ce phénomène juridique, je vous rappelle que depuis plus de 18 mois tout traitement de données à caractère personnel – quel que soit l’ampleur du traitement ou la taille de votre entreprise – est soumis à la nouvelle législation. Et ce, dès lors qu’il est réalisé dans le cadre d’une activité s’exerçant sur le territoire de l’Union européenne ou qu’il concerne des données appartenant à une personne résidant sur ledit territoire.

Par ailleurs, le nouveau régime ne repose plus sur un système d’autorisation (et le cas échéant de dispense d’autorisation) mais sur un principe de responsabilité du responsable du traitement. Celui-ci qui doit être en mesure de démontrer, à première demande, qu’il respecte la législation.

Par conséquent, pour respecter la législation, le responsable de traitement doit tenir un registre des données à caractère personnel. Il doit contenir les données qu’il utilise et informer les personnes concernées de la collecte de leurs données, de la finalité et de la durée de cette collecte et de leurs droits.

Ainsi, il doit recueillir le consentement des personnes concernées.

 

Où en êtes-vous avec le RGPD ?

 

Vous ne vous êtes pas encore penché sur vos obligations, je vous détaille pas à pas les démarches que vous pouvez mettre en œuvre dès maintenant :

 

1. Premièrement, identifiez le responsable de traitement au sein de votre entreprise, les gestionnaires et les différents fichiers   gérés :

 

Qui est le responsable de traitement :

Le responsable du traitement est la personne qui détermine les finalités et les moyens du traitement. Généralement, il s’agit du dirigeant de l’entreprise collecteur.

 

Attention, il doit recenser toutes les personnes qui collectent, utilisent, traitent des données dans et pour son entreprise :

Des salariés de votre entreprise peuvent créer des fichiers pour les besoins propres de leur activité / service. Comme par exemple : le personnel d’un service de ressources humaines gère les fichiers des employés et des candidats ; le service commercial : le fichier des clients et prospects, les services comptables : les fichiers salariés, fournisseurs, clients.

N’oubliez pas que vos sous-traitants exploitent aussi les données que vous leur transmettez et établir leur propre système de traitement (par exemple : votre comptable s’il établit les paies dispose de données concernant vos salariés)…

C’est pour cela qu’il est nécessaire d’identifier les responsables des services opérationnels, les sous-traitants et de recenser l’intégralité des fichiers qu’ils ont créés, qu’ils gèrent et qu’ils utilisent.

 

Avez-vous besoin de désigner un DPO (délégué à la protection des données) ?

Sa désignation n’est obligatoire que :

  • lorsque le responsable de traitement appartient au secteur public,
  • si votre activité principale vous amène à réaliser un suivi régulier et systématique des personnes à grande échelle,
  • si vos activités principales vous amènent à traiter, toujours à grande échelle, des données dites sensibles ou relatives à des condamnations pénales et infractions.

 

En dehors de ces hypothèses la désignation d’un délégué à la protection des données personnelles est facultative.

 

2. Deuxièmement, recensez les données collectées, leur finalité, les lieux de stockage dans votre dossier RGPD…

 

Quelles données sont collectées ?

– Identifiez les catégories de données traitées

Par exemple, RH : attention à la vidéo surveillance, vidéo protection et aux badges, logiciels de gestion de temps etc….

– Identifiez les données susceptibles de soulever des risques en raison de leur sensibilité particulière (par exemple : les données relatives à la santé ou les infractions).

Par ailleurs, je vous rappelle que la collecte, et par voie de conséquence, le traitement de certaines données sont interdits. En particulier les données qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques. Et celles concernant l’appartenance syndicale, le traitement des données génétiques, les données biométriques aux fins d’identifier une personne physique de manière unique. Ainsi que les données concernant la santé ou les données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique.

 

Pourquoi chaque donnée est collectée ?

Indiquez la ou les finalités pour lesquelles vous collectez ou traitez ces données (exemple : gestion de la relation commerciale, gestion RH…).

A ce stade impliquez vos services, ils doivent être en mesure de justifier la nécessité de chaque donnée qu’ils collectent. Donc, a défaut de nécessité du traitement de telle donnée, il faut mettre fin à sa collecte et détruire de vos fichiers les données inutiles.

 

Où sont stockées les données ?

Vous devez déterminer le lieu où les données sont hébergées : vos propres serveurs, les serveurs de vos sous-traitants, vos armoires (la loi s’appliquent aux fichiers informatiques comme aux fichiers papiers)

De plus, il faut également indiquer vers quels pays les données sont éventuellement transférées.

 

Jusqu’à quand ?

Indiquez, pour chaque catégorie de données, combien de temps vous les conservez.

Ainsi vous devez être en mesure de justifier la durée de traitement de la donnée. Et donc celle-ci doit être limitée à la durée nécessaire au regard des finalités pour lesquelles la donnée est traitée. Il serait, par exemple, difficile de justifier la conservation pendant des années de données transmises par des candidats à un poste dans votre entreprise.

 

Comment ?

Quelles mesures de sécurité sont mises en œuvre pour minimiser les risques d’accès non autorisés aux données ? Et par conséquent l’impact sur la vie privée des personnes concernées ?

 

3. Troisièmement, déterminez leur régime d’autorisation :

 

consentement ou – le traitement nécessaire à l’exécution d’un contrat
– traitement nécessaire au respect d’une obligation légale
– le traitement nécessaire à la sauvegarde d’intérêts vitaux
– traitement nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’autorité publique
– le traitement nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement

 

4. Ensuite, assurez-vous de la légalité du traitement :

 

  • Vérifiez que seules les données nécessaires à la finalité du traitement sont collectées et traitées – le cas échéant, faire le tri,
  • Analyser vos documents juridiques et contractuels, y compris ceux des sous-traitants,
  • Vérifiez le niveau de sécurité des données, y compris chez les sous-traitants,

 

5. Puis, prévoyez les modalités d’exercice des droits de la personne concernée dans une charte RGPD qui comprend les droits suivants :

 

  • D’accès de copie/ d’information
  • De rectification et d’effacement
  • La limitation du traitement
  • La portabilité des données
  • Droit d’opposition
  • Droit de ne pas faire l’objet d’une décision fondée exclusivement sur le traitement automatisé produisant des effets juridique ou affectant la personne concernée de manière significative

 

6. Enfin, standardisez les processus internes : adoptez des mesures techniques et organisationnelles appropriées :

 

  • Prenez en compte les contraintes de protection des données personnelles dès la conception du traitement,
  • Veillez à limiter la quantité de données traitées :

Cependant, seules les données strictement nécessaires à la poursuite des objectifs du traitement sont collectées et traitées.

  • Mettez en place des dispositifs de sécurité et de confidentialité:

En effet, les dispositifs de sécurité seront appréciés en fonction de divers points comme l’état des connaissances ou le coût de mise en œuvre. De même que la nature et la portée, le contexte et de la finalité du traitement. Ou encore des risques pour les droits de la personne concernée, les probabilités ou le degré de gravité.

Corolaire: obligation de notifier à l’autorité de contrôle toute violation de données à caractère personnel dans les meilleurs délais, si possible dans les 72 heures.

Attention cependant, quand le risque est élevé: communication à la personne concernée de la violation.

  • Assurez le respect des droits de la personne concernée
  • Le cas échéant, s’assurer que le.s sous-traitant.s présente.nt des garanties suffisantes,
  • Evaluez les risques d’un traitement et le cas échéant mettez en place des procédures requises comme les études d’impact sur la vie privée,
  • Sollicitez l’autorisation de la CNIL pour les traitements de données sensibles/ traitements. Notamment celles reposant sur « l’évaluation systématique et approfondie d’aspects personnels des personnes physiques », exemple : profilage.

 

En outre, ces informations figureront dans le registre des activités de traitement. Registre que chaque entreprise à l’obligation de tenir, sous peine de sanctions qui peuvent être particulièrement dissuasives.

En effet, La CNIL dispose, du pouvoir de prononcer des amendes administratives qui, selon les dispositions du Règlement européen, doivent être « effectives, proportionnées et dissuasives ». Celles-ci peuvent atteindre jusqu’à 20.000.000 €, ou 4% du chiffre d’affaires annuel mondial total de l’exercice précédent.

De plus, les amendes administratives ne font pas obstacle à l’éventuelle action en justice que la personne dont les droits auraient été violés peut décider de mettre en œuvre pour réclamer la réparation de son préjudice.

Plus de 18 mois après l’entrée en vigueur de la nouvelle législation, il appartient à chacun de s’approprier les nouvelles normes et de mettre en place ses bonnes pratiques.

Enfin, la CNIL a créé de nombreuses fiches informatives sur le RGPD. Ainsi que des thématiques regroupant ses recommandations et points de vigilances à ne pas négliger. Elle a même mis en ligne son propre fichier modèle à valeur pédagogique. Par conséquent, n’hésitez pas à le consulter pour vous familiariser avec ses attentes.

 

Vous souhaitez être aidé ? Que ce soit dans la mise en place des bonnes pratiques RGPD et/ où la rédaction de votre charte d’information ? Je propose aux Web entrepreneurs un package incluant ces prestations.

[i] Pour consulter la loi : https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000000886460