Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016

RGPD (source CNIL)

Pour garantir une meilleure maîtrise des données personnelles et renforcer le droit des personnes, le Règlement Général sur la Protection des Données (RGPD) entre en application à partir du 25 mai 2018.

Tout organisme (public et privé) traitant des données personnelles est tenu de se conformer au RGPD.


Qu’est-ce qu’une donnée personnelle (CNIL) ?

Toute information, identifiant directement ou indirectement une personne physique (ex. nom, no d’immatriculation, no de téléphone, photographie, date de naissance, commune de résidence, empreinte digitale, adresse IP, ADN, numéro de sécurité sociale, donnée biométrique, ensemble d’informations permettant de discriminer une personne au sein d’une population tels que, donnée physique, physiologique, génétique, psychique, économique, culturelle, sociale, la voix, une photo, lieu de résidence, profession, sexe, âge…)


Qu’est-ce qu’un traitement de données à caractère personnel (CNIL) ?

Toute opération, ou ensemble d’opérations, portant sur de telles données, quel que soit le procédé utilisé (collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission ou toute autre forme de mise à disposition, rapprochement ou interconnexion, verrouillage, effacement ou destruction, …)

Un traitement de données personnelles n’est pas nécessairement informatisé : les fichiers papier sont également concernés et doivent être protégés dans les mêmes conditions.


Qui est concerné ?

Le RGPD s’applique à toute organisation (entreprise, association, collectivité, publique et privée) qui traite des données personnelles pour son compte ou non. Le RGPD concerne aussi les sous-traitants qui traitent des données personnelles pour le compte d’autres organismes.

Ainsi, si vous traitez ou collectez des données pour le compte de vos clients, vous avez des obligations spécifiques pour garantir la protection des données qui vous sont confiées. Vous devez permettre aux personnes dont les données personnelles font l’objet d’un traitement, de maîtriser leurs données en leur conférant des droits d’accès, de rectification, d’effacement, d’opposition, etc.

Exemple : Votre expert-comptable collecte et traite certaines de vos données personnelles ainsi que les données personnelles de ses salariés, il est concerné à double titre.


Améliorer la sécurité des données de votre entreprise

L’actualité témoigne d’un nombre de plus en plus important de failles de sécurité et d’attaques informatiques. Ces dernières peuvent avoir des conséquences désastreuses sur l’activité des entreprises. Le niveau de sécurité de l’entreprise dans sa globalité se pose, ainsi les données personnelles doivent faire l’objet de mesures de sécurité particulières, informatiques et physiques.

Rassurer vos clients et donneurs d’ordre et ainsi développer votre activité

Dans tous les secteurs d’activité, les clients seront très attentifs à la mise en œuvre du RGPD par leurs prestataires. Il s’agit donc d’un sujet crucial pour les sous-traitants qui traitent des données personnelles pour le compte d’entreprises, à la fois pour maintenir leurs relations commerciales existantes mais également pour éventuellement en conquérir de nouvelles. Si vous respectez le RGPD, vous aurez un avantage concurrentiel !


Quelles sont les actions à mener pour une mise en conformité RGPD ?

1-Registre de traitement

Le registre listant vos traitements de données vous permettra d’avoir une vision d’ensemble.

Identifiez ou cartographiez les activités principales de votre entreprise qui nécessitent la collecte et le traitement de données (exemples : recrutement, gestion de la paye, formation, gestion des badges et des accès, statistiques de ventes, gestion des clients prospects, etc.).

Dans votre registre, créez une fiche (sous-registre) pour chaque activité ou traitement recensés, en précisant :

  • Les acteurs : le(s) responsable de traitement (l’entreprise), les sous-traitants.
  • Les catégories de données utilisées (exemple pour la paie : nom, prénom, date de naissance, salaire, etc.).
  • Descriptif du risque : (vol, piratage, pertes de données).
  • L’objectif poursuivi ou la finalité (exemple : Gestion du personnel, obligations légales, paiement des salaires).
  • Déterminer le flux de données : (exemples : PC, disques dur externes, cloud, supports papier).
  • Qui a accès aux données (le destinataire – exemple : service chargé du recrutement, service informatique, direction, prestataires, partenaires, hébergeurs).
  • La durée de conservation de ces données (durée durant laquelle les données sont utiles d’un point de vue opérationnel, et durée de conservation en archive).
  • Données nécessitant la mise en place d’une analyse d’impact (PIA).
  • Mesures de sécurité : Mises en œuvre et préventions pour protéger les données à caractère personnel.
  • Identification et priorisation des actions à mener.

Le registre est placé sous la responsabilité du dirigeant de l’entreprise. Pour avoir un registre exhaustif et à jour, il faut en discuter et être en contact avec toutes les personnes de l’entreprise susceptibles de traiter des données personnelles.

En constituant votre registre, vous aurez une vision d’ensemble sur vos traitements de données


2-Documentation

Vous devez constituer une documentation attestant de la conformité au RGPD.

Pour prouver la conformité au règlement, il est nécessaire de constituer et regrouper la documentation nécessaire. Les actions et documents réalisés à chaque étape doivent être réexaminés et actualisés régulièrement pour assurer une protection des données en continu.

LA DOCUMENTATION SUR VOS TRAITEMENTS DE DONNÉES PERSONNELLES

  • Le registre des traitements (pour les responsables de traitements) ou des catégories d’activités de traitements (pour les sous-traitants).
  • Les analyses d’impact sur la protection des données (PIA) pour les traitements susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes.
  • L’encadrement des transferts de données hors de l’Union européenne (notamment, les clauses contractuelles types, les BCR et certifications)

L’INFORMATION DES PERSONNES

  • Les mentions d’information
  • Les modèles de recueil du consentement des personnes concernées,
  • Les procédures mises en place pour l’exercice des droits

LES CONTRATS QUI DÉFINISSENT LES RÔLES ET LES RESPONSABILITÉS DES ACTEURS

  • Les contrats avec les sous-traitants
  • Les procédures internes en cas de violations de données
  • Les preuves que les personnes concernées ont donné leur consentement lorsque le traitement de leurs données repose sur cette base.

3-Registre sous-traitant

En tant que sous-traitant, vous devez tenir un registre des catégories d’activités de traitement que vous effectuez pour le compte de vos clients. Ce registre doit être tenu par écrit et contenir :

  • Le nom et les coordonnées de chaque client pour le compte duquel vous traitez des données.
  • Le nom et les coordonnées de chaque sous-traitant ultérieur, le cas échéant.
  • Le nom et les coordonnées du délégué à la protection des données, le cas échéant.
  • Les catégories de traitements effectués pour le compte de chaque client.
  • Les transferts de données hors UE que vous effectuez pour le compte de vos clients, le cas échéant.
  • Dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles que vous mettez en place.
  • Tri des données collectées et stockées

Pour chaque fiche de registre créée, vérifiez :

Que les données que vous traitez sont nécessaires à vos activités (par exemple, il n’est pas utile de savoir si vos salariés ont des enfants, si vous n’offrez aucun service ou rémunération attachée à cette caractéristique).

  • Que vous ne traitez aucune donnée dite « sensible » ou, si c’est le cas, que vous avez bien le droit de les traiter.
  • Que seules les personnes habilitées ont accès aux données dont elles ont besoin.
  • Que vous ne conservez pas vos données au-delà de ce qui est nécessaire.

À cette occasion, améliorez vos pratiques !

Minimisez la collecte de données, en éliminant de vos formulaires de collecte et vos bases de données toutes les informations inutiles.

Redéfinissez qui doit pouvoir accéder à quelles données dans votre entreprise.

Pensez à poser des règles automatiques d’effacement ou d’archivage au bout d’une certaine durée dans vos applications.

Respecter les droits des personnes

Informez les personnes À chaque fois que vous collectez des données personnelles, le support utilisé (formulaire, questionnaire, etc.) doit comporter des mentions d’information.

Vérifiez que l’information comporte notamment les éléments suivants :

  • Pourquoi vous collectez les données (« la finalité » ; par exemple pour gérer l’achat en ligne du consommateur).
  • Ce qui vous autorise à traiter ces données (le « fondement juridique » : il peut s’agir du consentement de la personne concernée, de l’exécution d’un contrat, du respect d’une obligation légale qui s’impose à vous, de votre « intérêt légitime »).
  • Qui a accès aux données (indiquez des catégories : les services internes compétents, un prestataire, etc.).
  • Combien de temps vous les conservez (exemple : 5 ans après la fin de la relation contractuelle).
  • Les modalités selon lesquelles les personnes concernées peuvent exercer leurs droits (via leur espace personnel sur votre site internet, par un message sur une adresse email dédiée, par un courrier postal à un service identifié).
  • Si vous transférez des données hors de l’Union européenne (précisez le pays et l’encadrement juridique qui maintient le niveau de protection des données).
  • Pour éviter des mentions trop longues au niveau d’un formulaire en ligne, vous pouvez par exemple, donner un premier niveau d’information en fin de formulaire et renvoyer à une politique de confidentialité sur votre site internet.
  • À l’issue de cette étape, vous avez répondu à votre obligation de transparence

Permettre aux personnes d’exercer facilement leurs droits

Les personnes dont vous traitez les données (clients, collaborateurs, prestataires, etc.) ont des droits sur leurs données, qui sont d’ailleurs renforcés par le RGPD : droit d’accès, de rectification, d’opposition, d’effacement, à la portabilité et à la limitation du traitement.

Vous devez leur donner les moyens d’exercer effectivement leurs droits.

Si vous disposez d’un site web, prévoyez un formulaire de contact spécifique, un numéro de téléphone ou une adresse de messagerie dédiée. Si vous proposez un compte en ligne, donnez à vos clients la possibilité d’exercer leurs droits à partir de leur compte.

Mettez en place un processus interne permettant de garantir l’identification et le traitement des demandes dans des délais courts (1 mois au maximum).

Bonne pratique : La réactivité !

Bien traiter les demandes des consommateurs quant à leurs données personnelles, c’est :

  • Renforcer la confiance qui sécurise la relation-client.
  • Vous mettre à l’abri de critiques sur les réseaux sociaux, ou de réclamations auprès de la CNIL.
  • Sécurisation des données
  • Vous êtes tenu d’assurer la sécurité des données personnelles que vous détenez