Qu'est-ce que le RGPD ?

C’est le Règlement Général Européen de Protection des Données. Il s’applique uniformément à tous les Etats membres de l’Union Européenne et confère un niveau équivalent de protection des données personnelles.

Il est applicable depuis le 25 mai 2018. La CNIL est l’organe de contrôle et le garant de la protection des données personnelles.

Qui est concerné ?

Le RGPD concerne l’ensemble des organismes publics et privés qui collectent et traitent des données personnelles émanant d’individus situés sur le territoire européen et précise les obligations des responsables de traitements de ces données, les droits des personnes et renforce considérablement les sanctions applicables.

Le RGPD concerne aussi les sous-traitants qui traitent des données personnelles pour le compte d’autres organismes.

Ainsi, si vous traitez ou collectez des données pour le compte d’une autre entité (entreprise, collectivité, association), vous avez des obligations spécifiques pour garantir la protection des données qui vous sont confiées (voir chapître 5 « La sous-traitance », page 44).

Cependant, ces principes ne sont pas nouveaux en France. La Loi Informatique et Libertés fixe depuis 1978 un cadre à la collecte et au traitement de ces données. Le règlement européen l’abroge et consacre de nouvelles dispositions dans la continuité des principes existant (principe de finalité, pertinence et proportionnalité, durée limitée, sécurité et confidentialité, respect du droit des personnes).

En tant qu’entrepreneur, ces nouvelles obligations vous inciteront notamment à plus de transparence dans vos relations avec vos interlocuteurs : clients, salariés, prospects, fournisseurs, etc.

Faire comprendre la manière dont vous utilisez leurs données personnelles et leur donner la possibilité de les maîtriser, renforcera la confiance et favorisera donc votre activité.

 

Qu’est-ce qu’une donnée personnelle ?

Une donnée personnelle est une information susceptible d’identifier directement ou indirectement une personne physique.

Il peut donc s’agir du nom, prénom, de l’adresse postale ou électronique ou encore du numéro de sécurité sociale. Mais cela peut aussi être le numéro de carte de paiement, la plaque d’immatriculation du véhicule, l’historique de navigation web ou même les données de géolocalisation. Leur divulgation ou leur mauvaise utilisation pourrait porter atteinte aux droits et libertés des personnes ou à leur vie privée.

Qu’est-ce qu’un traitement de données personnelles ?

Un « traitement de données personnelles » est une opération, ou ensemble d’opérations, portant sur des données personnelles, quel que soit le procédé utilisé (collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission diffusion ou toute autre forme de mise à disposition, rapprochement).

Par contre, un fichier ne contenant que des coordonnées d’entreprises (par exemple, entreprise « Compagnie A » avec son adresse postale, le numéro de téléphone de son standard et un email de contact générique « compagnieA@email.fr ») n’est pas un traitement de données personnelles.

Un traitement de données personnelles n’est pas nécessairement informatisé : les fichiers papier sont également concernés et doivent être protégés dans les mêmes conditions.

 

Les 4 actions principales à mener pour entamer la conformité

 

Ces actions doivent perdurer dans le temps pour être efficaces.

 

1/ Recencez vos fichiers

Le registre listant vos traitements de données vous permettra d’avoir une vision d’ensemble.

Identifiez les activités principales de votre entreprise qui nécessitent la collecte et le traitement de données (exemples : recrutement, gestion de la paye, formation, gestion des badges et des accès, statistiques de ventes, gestion des clients prospects, etc.).

Appuyez-vous sur le modèle de registre proposé par la CNIL sur son site internet.

Dans votre registre, créez une fiche pour chaque activité recensée, en précisant :

• l’objectif poursuivi (la finalité - exemple : la fidélisation client) ;
• les catégories de données utilisées (exemple pour la paie : nom, prénom, date de naissance, salaire, etc.) ;

• qui a accès aux données(ledestinataire-exemple:service chargé du recrutement, service informatique, direction, prestataires, partenaires, hébergeurs) ;

• la durée de conservation de ces données (durée durant laquelle les données sont utiles d’un point de vue opérationnel, et durée de conservation en archive).

Le registre est placé sous la responsabilité du dirigeant de l’entreprise. Pour avoir un registre exhaustif et à jour, il faut en discuter et être en contact avec toutes les personnes de l’entreprise susceptibles de traiter des données personnelles.

Vous n’avez pas en revanche à mentionner au registre les traitements purement occasionnels (exemple : fichier constitué pour une opération événementielle ponctuelle comme l’inauguration d’une boutique).

En constituant votre registre, vous aurez une vision d’ensemble sur vos traitements de données.

2/ Faites le tri dans vos données

Pour chaque fiche de registre créée, vérifiez :

• que les données que vous traitez sont nécessaires à vos activités (par exemple, il n’est pas utile de savoir si vos salariés ont des enfants, si vous n’offrez aucun service ou rémunération attachée à cette caractéristique) ;

  • Que vous ne traitez aucune donnée dite «sensible» ou,si c’est le cas, que vous avez bien le droit de les traiter (voir chapître 6 « Traitements de données à risque : êtes-vous concerné ? », page 50) ;

  • que seules les personnes habilitées ont accès aux données dont elles ont besoin ;

  • que vous ne conservez pas vos données au-delà de ce qui est nécessaire.

 

À cette occasion, améliorez vos pratiques !

Minimisez la collecte de données, en éliminant de vos formulaires de collecte et vos bases de données toutes les informations inutiles. Redéfinissez qui doit pouvoir accéder à quelles données dans votre entreprise. Pensez à poser des règles automatiques d’effacement ou d’archivage au bout d’une certaine durée dans vos applications.

3/ Respectez le droit des personnes

Informez les personnes

À chaque fois que vous collectez des données personnelles, le support utilisé (formulaire, questionnaire, etc.) doit comporter des mentions d’information.

Vérifiez que l’information comporte notamment les éléments suivants :

  • pourquoi vous collectez les données (« la finalité » ; par exemple pour gérer l’achat en ligne du consommateur) ;

  • ce qui vous autorise à traiter ces données (le « fondement juridique » : il peut s’agir du consentement de la personne concernée, de l’exécution d’un contrat, du respect d’une obligation légale qui s’impose à vous, de votre « intérêt légitime ») ;

  • qui a accès aux données (indiquez des catégories : les services internes compétents, un prestataire, etc.) ;

  • combien de temps vous les conservez (exemple : « 5 ans après la fin de la relation contractuelle ») ;

  • les modalités selon lesquelles les personnes concernées peuvent exercer leurs droits (via leur espace personnel sur votre site internet, par un message sur une adresse email dédiée, par un courrier postal à un service identifié) ;

  • si vous transférez des données hors de l’Union européenne (précisez le pays et l’encadrement juridique qui maintient le niveau de protection des données).

Des exemples de mentions sont disponibles sur le site internet de la CNIL.

Pour éviter des mentions trop longues au niveau d’un formulaire en ligne, vous pouvez par exemple, donner un premier niveau d’information en fin de formulaire et renvoyer à une politique de confidentialité/ page vie privée sur votre site internet.

À l’issue de cette étape, vous avez répondu à votre obligation de transparence.

Permettez aux personnes d’exercer facilement leurs droits

Les personnes dont vous traitez les données (clients, collaborateurs, prestataires, etc.) ont des droits sur leurs données, qui sont d’ailleurs renforcés par le RGPD : droit à l’information, droit d’accès, de rectification, d’opposition, à l’effacement, à la portabilité et à la limitation du traitement.

Vous devez leur donner les moyens d’exercer effectivement leurs droits. Si vous disposez d’un site web, prévoyez un formulaire de contact spécifique, un numéro de téléphone ou une adresse de messagerie dédiée. Si vous proposez un compte en ligne, donnez à vos clients la possibilité d’exercer leurs droits à partir de leur compte.

Mettez en place un processus interne permettant de garantir l’identification et le traitement des demandes dans des délais courts (1 mois au maximum).

 

4/ Sécurisez vos données

Garantissez l’intégrité de votre patrimoine de données en minimisant les risques de pertes de données ou de piratage.

Les mesures à prendre, informatiques ou physiques, dépendent de la sensibilité des données que vous traitez et des risques qui pèsent sur les personnes en cas d’incident.

Différentes actions doivent être mises en place : mises à jour de vos antivirus et logiciels, changement régulier des mots de passe et utilisation de mots de passe complexes, ou chiffrement de vos données dans certaines situations. En cas de perte ou vol d’un outil informatique, il sera plus difficile pour un tiers d’y accéder.

Les failles de sécurité ont également des conséquences pour ceux qui vous ont confié des données personnelles. Ayez à l’esprit les conséquences pour les personnes de la perte, la divulgation, la modification non souhaitée de leurs données, et prenez les mesures nécessaires pour minimiser ces risques.

Signalez à la CNIL les violations de données personnelles

Votre entreprise a subi une violation de données (des données personnelles ont été, de manière accidentelle ou illicite, détruites, perdues, altérées, divulguées ou vous avez constaté un accès non autorisé à des données) ?

Vous devez la signaler à la CNIL dans les 72 heures si cette violation est susceptible de représenter un risque pour les droits et libertés des personnes concernées. Cette notification s’effectue en ligne sur le site internet de la CNIL.

Si ces risques sont élevés pour ces personnes, vous devrez les en informer.

À l’issue de cette étape, vous serez en capacité d’assurer une protection des données personnelles en continu et de faire face aux incidents.

 

 

 

Source : Guide pratique de sensibilisation au RGPD par la CNIL et la BPI