Le RGPD, qu’est ce que c’est ?
Le Règlement Général pour la Protection des Données « RGPD » entre en vigueur le 25 mai 2018. Il renforce les grands principes de la loi Informatique et Libertés en vigueur depuis 1978.
Il concerne toutes les entreprises collectant des données à caractère personnel auprès de ses partenaires (clients, fournisseurs, ..) et de ses collaborateurs résidents dans l’Union Européenne.
L’objectif de ce règlement est de mieux protéger les données personnelles des résidents de l’U.E. en améliorant la confidentialité et la sécurité de ces données.
On entend par « données personnelles » un nom, un numéro de téléphone, de sécurité sociale, d’immatriculation, une adresse IP, une photo ….
La législation impose également d’organiser des règles de fonctionnement et de gouvernance spécifiques, notamment la désignation d’un DPO (Data Protection Officer – Délégué à la protection des données) qui prendra ses fonctions mi-2018.
Les entreprises non-respectueuses du GDPR risquent des sanctions pouvant atteindre jusqu’à 4% de leur chiffre d’affaires annuel, être pénalement sanctionné de 5 ans de prison et de 300 000 € d’amende.
Le but recherché par le RGPD est de définir à l’échelle mondiale des règles rigoureuses pour développer et encadrer l’économie numérique, et répondre aux attentes des citoyens de l’UE concernant la gestion de leurs données personnelles :
– Plus de transparence dans l’utilisation des données personnelles
– Une protection stricte des données «sensibles» (santé, politique …)
– La mise en place d’un dispositif pour le recueil du consentement
– Le respect des droits de la personne physique dans l’exploitation de ses données personnelles (droit d’opposition, à l’effacement, à la portabilité de ses données, limitation dans le temps de la conservation des données, protection des mineurs …).
En pratique, la plupart des formalités préalables actuelles auprès de la CNIL (déclarations, autorisations) vont disparaître, au profit d’une logique de conformité continue. Les entreprises et organismes qui traitent des données personnelles devront veiller au respect des textes tout au long du cycle de vie de la donnée. En contrepartie de cette réduction du contrôle en amont, le RGPD renforce les pouvoirs de sanction des CNIL nationales.
Le parcours du RGPD, les 6 étapes données par la CNIL :
Les professionnels peuvent d’ores et déjà s’appuyer sur de nombreux outils de préparation et de mise en conformité au RGPD, disponibles sur le site internet de la CNIL.
La méthode en 6 étapes pour se préparer permet aux entreprises de s’assurer qu’ils ont anticipé et mis en œuvre l’essentiel des mesures nécessaires pour être prêts en mai 2018 :
Etape 1 : désigner un pilote, qui sera le Délégué à la Protection des Données DPO
Etape 2 : Cartographier, Recenser de façon précise le traitement des données personnelles de l’entreprise. Elaborer un registre des traitements pour faire le point.
Etape 3 : Prioriser. Sur la base d’un registre, identifier les actions à mener aux regards des risques relatifs aux traitements sur les droits et les libertés des personnes concernées.
Etape 4 : Gérer les risques. Si identification de risques dans les données personnelles traitées, élaboration d’une analyse d’impact sur la protection des données.
Etape 5 : Organiser des processus internes, pour assurer un haut niveau de protection des données.
Etape 6 : Documenter, pour prouver la conformité au règlement et pour assurer la continuité de la protection des données.
Outils mis en place par la CNIL :
La CNIL met à disposition des outils pratiques pour permettre aux entreprises d’être en conformité. Seront mis en ligne prochainement des modèles-type de mentions d’information, de formulaires de recueil du consentement, un formulaire de désignation du délégué à la protection des données, etc.
Le lien pour y accéder est le suivant : https://www.cnil.fr/professionnel
CNIL, obligation en cas de violation des données personnelles :
En cas de vol de données, l’entreprise doit prévenir la CNIL dans les plus brefs délais. Il a été créé pour cela un formulaire de notification, à remplir sur le site de la CNIL.
En cas de risque élevé, l’entreprise devra également notifier du vol les personnes concernées.
En cas de doute, la CNIL vous indiquera s’il est nécessaire d’informer ces personnes.
Lien : https://www.cnil.fr/fr/notifier-une-violation-de-donnees-personnelles
Information des données personnelles du salarié :
Les employeurs sont largement impactés dans la mesure où ils recueillent des données personnelles de leurs salariés, et de nouvelles obligations s’imposent à eux.
Les données concernées par le règlement européen sont tous les fichiers comportant des données personnelles, c’est-à-dire les noms, prénoms, photos ou vidéos de personnes, données biométriques, etc.
En pratique, les employeurs recueillent un grand nombre de données personnelles : curriculum vitae, lettre de motivation, numéro de sécurité sociale, bulletins de paie, registre unique du personnel, organigramme, décompte du temps de travail, système de vidéosurveillance, etc.
Les employeurs doivent pouvoir démontrer qu’ils respectent les règles. Un certain nombre d’actions deviennent nécessaires, notamment la mise à jour des informations délivrées aux salariés concernant le traitement de leurs données et la révision des contrats conclus avec les sous-traitants.
Le RGPD donne aux salariés le droit que l’employeur lui communique les données personnelles en sa possession et également de lui demander d’effacer ses données personnelles. Attention : les entreprises doivent respecter les délais de conservation de certaines données (registre du personnel, bulletin, conservés 5 ans et l’année en cours). Les données personnelles des salariés ne pourront pas être effacées si les délais de conservation ne sont pas atteints.
Délais de conservation : https://www.service-public.fr/professionnels-entreprises/vosdroits/F10029
Nos conseils :
Nous vous conseillons d’être accompagné dans cette démarche par un prestataire informatique pour vérifier si votre système informatique est correctement protégé et en conformité au RGPD.
La sécurité des données concerne aussi les documents papiers : il faut également s’assurer de la sécurité de vos locaux.
Un responsable de la sécurité du Système d’information doit être nommé au sein de votre structure : il peut s’agir du chef d’entreprise, d’un salarié ou d’un prestataire externe sous contrat.
Il existe également des assurances qui couvrent le risque de cybercriminalité. Contactez votre assureur pour faire le point sur vos assurances actuelles, et éventuellement compléter les garanties.
En interne, les salariés doivent également être sensibilisés à la protection des données : une clause dans le contrat de travail, une charte informatique et un règlement intérieur sont à mettre en place.
Au niveau juridique, des mentions spécifiques sur la protection des données personnelles devront figurer dans vos contrats clients et documents commerciaux (devis, factures).
Enfin, il convient de s’assurer que vos prestataires se sont mis en conformité avec le RGPD pour la protection de vos données personnelles.
Attention : vous risquez d’être contactés par des sociétés frauduleuses proposant des services de mise en conformité au RGPD, vous menaçant de sanctions.
Seule la CNIL peut intervenir dans vos locaux pour contrôler, et éventuellement sanctionner.
Crédit photo : Freepik