Règlement Général sur la Protection des Données

Le RGPD crée un cadre juridique unifié de protection des données personnelles pour l’ensemble de l’Union européenne.

Les Obligations de l’employeur selon la loi

Le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 a pour objectif (Source CNIL)

  • D’encadrer juridiquement le traitement des données personnelles sur le territoire de l’Union européenne ;
  • De garantir une meilleure maîtrise des données personnelles ;
  • De renforcer le droit des personnes.

Ce règlement s’inscrit dans la continuité de la Loi française Informatique et Libertés de 1978 et renforce le contrôle par les citoyens de l’utilisation qui peut être faite des données les concernant.

Le RGPD est entré en application le 25 mai 2018.

Il vise ainsi à :

  • Améliorer la sécurité des données des entreprises ;
  • Rassurer les clients et donneurs d’ordre.

Le + pour votre entreprise : Avec la conformité de votre entreprise au RGPD, vous détenez un avantage sur vos concurrents.

Qui est concerné ?

Tout organisme, public ou privé, traitant des données personnelles est tenu de se conformer au RGPD.

Le RGPD concerne également les sous-traitants qui traitent des données personnelles pour le compte d’autres organismes.

Par exemple, un expert-comptable qui traite à la fois certaines des données personnelles de ses clients et celles de ses salariés est concerné à double titre.

Qu’est-ce qu’un traitement de données personnelles ?

Un traitement de données personnelles doit avoir un objectif légal et légitime au regard de l’activité professionnelle de l’entreprise.

Un traitement de données personnelles est une opération ou ensemble d’opérations portant sur des données personnelles, quel que soit le procédé utilisé : collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission ou toute autre forme de mise à disposition, rapprochement ou interconnexion, verrouillage, effacement, destruction…

Un traitement de données personnelles n’est pas nécessairement informatisé. Les fichiers papier sont également concernés et doivent être protégés dans les mêmes conditions.

Quelles actions réaliser pour une mise en conformité RGPD

Les 4 actions principales à réaliser pour mettre une entreprise en conformité RGPD sont :

  1. Le registre de traitement de données.
  2. Le tri des données collectées et stockées.
  3. Le respect des droits des personnes.
  4. La sécurisation des données.

Le registre de traitement des données

Le registre de traitement de données est un document qui permet de recenser tous les fichiers de l’entreprise pour avoir une vision d’ensemble.

Il s’agit :

  1. D’identifier ou de cartographier les activités principales de l’entreprise qui nécessitent la collecte et le traitement de données.
    Par exemple : recrutement, gestion de la paye, formation, gestion des badges et des accès, statistiques de vente, gestion de clients prospects…
  2. De créer une fiche (sous-registre) pour chaque activité ou traitements recensés.

Le registre est placé sous la responsabilité du dirigeant de l’entreprise.

Pour avoir un registre exhaustif et à jour, il faut en discuter et être en contact avec toutes les personnes de l’entreprise susceptibles de traiter des données personnelles.

Pour prouver la conformité au règlement, il est nécessaire de constituer et regrouper la documentation nécessaire. Les actions et documents réalisés à chaque étape doivent être réexaminés et actualisés régulièrement pour assurer une protection des données en continu.

Le tri des données collectées et stockées

La constitution du registre permet à l’entreprise de s’interroger sur les données dont elle a réellement besoin.

Pour chaque fiche de registre créée, il s’agit de vérifier que :

  • Les données que l’entreprise traite sont nécessaires à ses activités ;
  • L’entreprise ne traite aucune donnée dite « sensible » ou, si c’est le cas, qu’elle a bien le droit de le faire ;
  • Seules les personnes habilitées ont accès aux données dont elles ont besoin ;
  • L’entreprise ne conserve pas les données au-delà de ce qui est nécessaire.

Cette opération est l’occasion d’améliorer les pratiques de l’entreprise en redéfinissant les paramètres de collecte et de tri des données.

Le respect des droits des personnes

Le RGPD renforce l’obligation d’information et de transparence à l’égard des personnes dont l’entreprise traite les données : clients, collaborateurs…

Il s’agit :

  1. D’informer les personnes à chaque fois que l’entreprise collecte des données personnelles : le support de collecte utilisé doit comporter un certain nombre de mentions d’information.
    À cette étape, l’entreprise a répondu à son obligation de transparence.
  2. De permettre aux personnes d’exercer facilement et effectivement leurs droits sur les données : droit d’accès, de rectification, d’opposition, d’effacement, à la portabilité et à la limitation du traitement.
    À l’issue de cette étape, l’entreprise est en capacité de répondre aux demandes des personnes concernées.

Le + pour votre entreprise : Un bon traitement des demandes des clients quant à leurs données personnelles :

  • Renforce la confiance qui sécurise la relation client ;
  • Met à l’abri de critiques sur les réseaux sociaux ou de réclamations auprès de la CNIL.

La sécurisation des données

L’entreprise est tenue à une obligation légale d’assurer la sécurité des données qu’elle détient.

La prise de mesures pour garantir l’intégrité du patrimoine de données de l’entreprise permet de minimiser les risques de pertes de données ou de piratage.

Les mesures prises doivent également minimiser, pour les personnes qui ont confié des données personnelles à l’entreprise, les risques et les conséquences de la perte, la divulgation, la modification de leurs données.

Si l’entreprise subit une violation de données personnelles, elle doit :

  1. Prévenir la CNIL dans les 72 heures si cette violation est susceptible de représenter un risque pour les droits et les libertés des personnes concernées.
  2. Informer les personnes concernées si les risques sont élevés.

À l’issue de cette quatrième action, votre entreprise est en capacité d’assurer une protection des données personnelles en continu et de faire face aux incidents.