Prendre RDV

04.94.18.54.00

Vie d'entreprise, Actualités

RGPD : ETES-VOUS PRET ?

À compter du 25 mai 2018, les règles relatives à la protection des données personnelles sont modifiées en raison de la mise en œuvre effective d'un règlement européen du 27 avril 2016, dit "RGPD". Ces règles tendent à renforcer les droits des citoyens quant au contrôle de l’usage qui est fait de leurs données personnelles. Chaque entité (entreprise ou association) quels que soient sa taille et son secteur d’activité se verra donc dans l’obligation d’adopter un comportement responsable et de mettre en œuvre les mesures nécessaires à la protection des données personnelles qu’elle détient et dont elle assure la collecte, l’exploitation et la conservation que ce soit sous forme informatique ou papier. A ce titre, la CNIL a publié sur son site un guide pratique destiné aux TPE/PME qui se veut simple, rassurant, axé sur le bon sens et qu’il est fort utile de consulter. A fortiori si l’activité de l’entreprise n’est pas centrée autour de données sensibles. https://www.cnil.fr/fr/la-cnil-et-bpifrance-sassocient-pour-accompagner-les-tpe-et-pme-dans-leur-appropriation-du-reglement

1- LES DONNEES A CARACTERE PERSONNEL CONCERNEES PAR LE REGLEMENT

Le RGPD concerne uniquement la protection des données personnelles rattachées à des personnes physiques « identifiées ou identifiables ». Ce qui signifie que le RGPD ne s’applique pas à la collecte d’informations sur l’entreprise (dénomination sociale, objet social, numéro de TVA, SIRET, etc.).

 

A titre d’exemple, il peut s’agir :

 

–       En matière sociale (vous êtes employeur) des données personnelles de vos salariés : CV, lettre de motivation, numéro de sécurité sociale, bulletins de paie, registre unique du personnel, organigramme, décompte du temps de travail, système de géolocalisation, de vidéosurveillance, etc.

 

–       En matière commerciale des données contenues dans vos fichiers clients : adresse postale, téléphone, situation familiale, identifiants bancaires…

 

Attention ! Par principe, le RGPD interdit strictement le traitement de certaines données relatives :

  • Aux origines raciales ou ethniques
  • Aux opinions politiques
  • Aux convictions religieuses
  • A l’orientation sexuelle
  • A la santé des personnes

2- LE TRAITEMENT DES DONNEES A CARACTERE PERSONNEL

La notion de traitement couvre un spectre très large d’opérations réalisées sur des données à caractère personnel. Il s’agit entre autres d’opérations de  collecte, d’enregistrement, de conservation, d’utilisation, de communication, de consultation ou encore de destruction… effectuées dans le cadre d’un établissement (ou d’un sous-traitant) de l’Union Européenne ou bien d’un établissement non établi dans l’Union Européenne si les traitements concernent les données de résidents d’un pays membre de l’Union Européenne.

3-  COMMENT METTRE EN PLACE UN SYSTEME DE MANAGEMENT DE LA PROTECTION DES DONNEES A CARACTERE PERSONNEL

 

1-    Désignation d’un Délégué à la Protection des Données (DPO) : il s’agit d’un référent interne ou externe, obligatoire pour les organismes public et pour toute entreprise dont l’activité de base est de traiter à grande échelle des données dites « sensibles ».

 

Sa mission légale est :

  • d’informer et de conseiller le responsable de traitement ou le sous-traitant, ainsi que leurs employés sur les obligations leur incombant,
  • de contrôler la conformité des traitements au RGPD,
  • d’être l’interlocuteur et de coopérer avec la CNIL,

mais il pourra également :

  • piloter la gestion de la conformité et accompagner le responsable dans la mise en place des phases listées plus bas,
  • instruire les demandes et les réclamations
  • élaborer et suivre le registre des traitements,
  • faire des propositions d’amélioration des process

2-    Phase d’audit : réaliser l’inventaire des fichiers et cartographier les traitements effectués en les portant au registre des activités de traitement (en précisant les objectifs, les intervenants internes et externes, les sous-traitants, les flux, les délais de conservation, les mesures de sécurité…)

  • Relatifs à l’activité métier
  • Relatifs au personnel de l’entreprise

 

3-    Phase de vérification de la conformité des traitements : un certain nombre de principes sont à respecter :

  • Licéité (aucune donnée dite sensible ne peut être collectée ou traitée sans consentement explicite ou sans satisfaire à certaines conditions comme le respect d’une obligation légale, la sauvegarde de la vie de la personne, l’exécution d’une mission de service public, etc.)
  • loyauté (l’utilisation des données ne saurait être mise en œuvre à l’insu des personnes concernées),
  • limitation des finalités (usage déterminé, explicite et légitime),
  • minimisation des données (collecte des données strictement utiles)
  • exactitude (les données doivent être exactes et tenues à jour),
  • principe de transparence (les personnes auprès desquelles ces données sont collectées doivent en être préalablement informées soit par mention particulière sur les documents de collecte soit par tout autre support d’affichage, d’avenant, etc.)
  • limitation de la conservation (la durée de conservation des données doit être déterminée et précisée)
  • sécurité (moyens physiques et informatiques mis en place pour protéger ses données).

 

4-    Phase de sensibilisation du personnel : communication en interne sur l’organisation mise en place pour la protection des données à caractère personnel, mentions dans les contrats de travail, charte informatique…

 

5-    Phase de communication externe : (mention dans les CGV, sur le site internet de l’entreprise…)

 

4-  GARANTIE ET SECURISATION DES DONNEES A CARACTERE PERSONNEL

1-    La gestion des réclamations et des contentieux : il s’agit d’établir une procédure de gestion des demandes des personnes exerçant leur droit d’accès, de rectification ou d’effacement de leurs données personnelles.

 

2-    La gestion des violations de données : si malgré toutes les mesures mises en place pour garantir la sécurité et la confidentialité des données personnelles, il y a violation des données, le responsable du traitement des données doit obligatoirement notifier les violations de sécurité des données

  • à la CNIL dans les meilleurs délais et 72 heures au plus tard après en avoir pris connaissance, sauf si la violation ne fait pas courir de risques aux droits et libertés individuelles des personnes concernées,
  • aux personnes concernées dans les meilleurs délais en cas de risque élevé pour leurs droits et libertés.

 

Ces opérations sont à répertorier dans un registre.

 

5- RENFORCEMENT DES SANCTIONS

Si les responsable du traitement des données ne prend pas les mesures nécessaires pour garantir la sécurité des données personnelles, la CNIL pourra appliquer des sanctions pouvant aller d’un rappel à l’ordre à l’application d’une amende administrative de 20 millions d’euros ou de 4 % du chiffre d’affaire mondial de la société.

EN CONCLUSION

Si la CNIL a d’ores et déjà fait savoir qu’elle serait souple en matière de contrôle et de sanctions pour cette première année, il n’en est pas moins indispensable d’entamer dès à présent une sensibilisation en interne et de s’organiser. Se mettre en conformité avec le RGPD peut s’envisager comme une opération de clarification et de rationalisation de son organisation interne mais aussi à l’égard des tiers comme un avantage concurrentiel et un atout en terme d’évolution vers la digitalisation et donc d’image de marque.

 

N’hésitez pas à vous faire accompagner par votre prestataire informatique habituel et à vous connecter sur le site de la CNIL où renseignements, conseils et outils sont à votre disposition.

Plus de 60 ans expérience au service des entreprises

Nos professionnels vous accompagnent à toutes les étapes de la vie de votre entreprise, en se positionnant comme interlocuteur de proximité, capable d’apporter une véritable valeur ajoutée grâce à des services sur mesure.

Newsletter

FGC vous informe de l’actualité importante dans ses domaines d’expertises.

Devenir client

Transmettez votre demande en quelques clics…

*champs obligatoires
Les informations recueillies à partir de ce formulaire sont transmises au service compétent de l'entreprise pour gérer votre demande.