RGPD : ce qu’il faut SAVOIR et FAIRE… 10 points-clés

La nouvelle règlementation en matière de données personnelles (RGPD) est entrée en vigueur le 25 mai 2018. Si vous n’êtes pas tout à fait prêt – vous n’êtes pas seul dans ce cas ! -, voici quelques informations utiles pour structurer votre démarche et/ou poursuivre la mise en conformité entreprise.

Sans prétendre être complet, allons à l’essentiel en 10 points-clés !


 

À SAVOIR :

  1. Définitions :
    • Est une donnée personnelle toute information permettant d’identifier directement (nom, prénom, par exemple) ou indirectement (numéro de client, numéro de téléphone, numéro de Sécurité sociale etc…) une personne.
      Précisions :

      • des adresses IP et MAC constituent des données personnelles
      • les données « sensibles » désignent les données relatives aux origines, aux opinions, à l’appartenance syndicale, la santé, l’orientation sexuelle, les données génétiques, les condamnations pénales éventuelles
    • Est un traitement de données personnelles toute opération ou ensemble d’opérations portant sur des données personnelles, quel que soit le procédé utilisé (collecte, enregistrement, modification, toute communication ou transmission…)
      Précision : un traitement de données personnelles n’est pas nécessairement informatisé ; des fichiers papier doivent être protégés

     

  2. De nouveaux principes :
    • Le régime antérieur reposait sur l’obligation de respecter des formalités préalables (déclarations, autorisations) ;
    • Le RGPD consacre le principe d’accountability : l’entreprise devient actrice de sa mise en conformité et doit pouvoir en justifier à tout moment via une documentation fournie.

     

  3. Le contrôle de la CNIL
    • Comme avant le RGPD, la CNIL continuera à assurer le contrôle des obligations en matière de recueil et de traitement des données en recourant à des procédés déjà connus : vérification en ligne, dans les locaux, audition, examen de pièces etc…
    • Désormais, la CNIL fera la distinction entre :
      des vérifications strictes portant sur le respect des principes fondamentaux (loyauté de traitement, pertinence des données, durée de conservation, sécurité des données etc…)
      et des mesures d’accompagnement pour ce qui concerne les nouveaux droits/obligations résultant du RGPD et portant sur : le droit à la portabilité, l’analyse d’impact.

     

  4. Les sanctions encourues sont de deux sortes :
    • des sanctions administratives en cas de non-respect du règlement : avertissement, mise en demeure, injonction de cesser le traitement, suspension des flux de données…
    • des amendes administratives pouvant désormais s’élever, selon les types d’infractions, à 10 ou 20 millions d’euros ou, dans le cas d’une entreprise jusqu’à 4 % du chiffre d’affaires mondial de l’entreprise défaillante !

     

    À FAIRE :

  5. Recenser les traitements de données personnelles activité par activité
    Le RGPD prévoit, pour les entreprises d’au moins 250 salariés, l’obligation de tenir un registre des traitements qui devra être mis à disposition de la CNIL ; en réalité, il est souhaitable d’établir ce registre dans les entreprises de toutes tailles car c’est un des moyens essentiels de démontrer que l’entreprise a entrepris concrètement une démarche de mise en conformité avec le RGPD.
    L’en-tête de ce registre mentionne les coordonnées du responsable de l’entreprise / organisme et le nom et les coordonnées du délégué à la protection des données (DPO)
    Ce registre liste les activités impliquant un traitement de données ; les modèles de la CNIL distinguent par exemple, des activités telles que :

    • activité 1 : gestion de la paie
    • activité 2 : gestion des fournisseurs
    • activité 3 : vente en ligne
    • activité n : —————–

     

  6. Pour chaque activité recensée dans le registre des traitements (voir ci-dessus), créer et tenir à jour une fiche de registre ; le modèle de la CNIL invite à compléter les rubriques suivantes :
    • objectifs poursuivis
    • catégories de personnes concernées
    • catégories de données collectées (en identifiant, le cas échéant, des données sensibles)
    • durées de conservation des catégories de données
    • catégories de destinataires de données
    • transfert des données hors Union européenne
    • mesures de sécurité
      Sur 5) et 6) voir : https://www.cnil.fr/sites/default/files/atoms/files/registre_rgpd_basique.pdf

     

  7. Informer les salariés et recueillir leur consentement
    • Quelles informations communiquer aux salariés ?
      l’identité et les coordonnées du responsable du traitement des données
      les finalités du traitement
      les catégories de données à caractère personnel concernées
      un rappel des droits de l’employé sur ses données
    • Au moyen de quels supports ?
      avec le règlement intérieur de l’entreprise et/ou le contrat de travail
    • Quand et comment le consentement du salarié doit-il être recueilli ?
      La collecte de données personnelles du salarié (photographie du salarié par exemple) imposera l’obtention du consentement préalable de l’employé concerné
      Ce consentement devra être recueilli de façon explicite et non équivoque pour les traitements concernés, notamment par un écrit ou une case à cocher.

     

  8. Garantir les droits des salariés sur leurs données personnelles
    • Quels sont ces droits ?
      Le RGPD renforce les droits des salariés sur leurs données : droit d’accès, de rectification, d’opposition, d’effacement (= droit à l’oubli entendu comme le droit, pour une personne, d’obtenir du responsable du traitement, l’effacement de données à caractère personnel qui la concernent) en particulier si ces données ne sont plus utiles au regard de leurs finalités initiales.
      Le droit à la portabilité est une nouveauté. Il se définit comme le droit pour une personne d’obtenir, voire de réutiliser les données qui la concernent pour ses besoins personnels
    • Quels sont les moyens d’exercer ces droits ?
      Il s’agit tout simplement d’un formulaire de contact sur un site web, d’un numéro de téléphone ou d’une adresse de messagerie dédiée.

     

  9. Sécuriser les données
    • Actions de prévention : mises à jour des antivirus et logiciels, changements réguliers de mots de passe… le tout formalisé par une note de
    • Obligation de signalement : l’entreprise victime d’une violation de données doit le signaler à la CNIL dans les 72 heures si cette violation est susceptible de représenter un risque pour les droits et libertés des personnes concernées

     

  10. Désigner un délégué à la protection des données (un DPO : Data Protection Officer)
    • Une obligation ?
      Cette désignation n’est obligatoire que pour les organismes publics et les entreprises dont l’activité de base conduit à réaliser un suivi régulier et systématique des personnes à grande échelle ou à traiter des données sensibles.
      La CNIL recommande cependant de désigner une personne chargée de s’assurer de la mise en conformité du RGPD ;
    • Son rôle ?
      Garant du respect du RGPD au sein de l’entreprise, il doit notamment : informer et conseiller le responsable du traitement ou le sous-traitant ainsi que les employés ; contrôler le respect du règlement ; dispenser des conseils, sur demande, en ce qui concerne l’analyse d’impact relative à la protection des données et vérifier l’exécution de celle-ci ; coopérer avec l’autorité de contrôle (CNIL) sur les questions relatives au traitement.
    • Qui ?
      Une personne qui ait des compétences juridiques en matière de données personnelles et indépendance hiérarchique : il ne peut être membre de l’équipe dirigeante ! Dans ce contexte, il est opportun d’externaliser cette fonction.