En mai 2018, le règlement général concernant la protection des données (RGPD) a remplacé le régime de formalités préalables prévu par la Loi informatique et Libertés. Ce système se base sur la responsabilité des acteurs qui seront tenus de démontrer que leurs traitements sont conformes au règlement. Tous les organismes, quelle que soit leur activité, leur taille et leur pays d’implantation sont concernés. Focus.
Mise en conformité RGPD : une obligation pour toutes les entreprises
Tout organisme public ou privé qui traite des informations personnelles de clients est concerné par le RGPD. C’est votre cas si votre entreprise est implantée sur le territoire de l’Union Européenne et si des résidents européens sont directement ciblés par votre activité. Sont également concernés les sous-traitants qui traitent des données personnelles pour le compte d’autres entreprises.
Données personnelles : de quoi parle-t-on au juste ?
L’on qualifie de donnée personnelle toute information qui permettrait d’identifier de manière directe ou indirecte une personne. Il s’agit des nom, prénom, numéro de téléphone, d’immatriculation ou client, données biométriques, etc. En effet, un individu peut aisément être identifié à partir d’une seule donnée comme son numéro de sécurité sociale, par exemple, ou en croisant un ensemble d’informations. Notons que les adresses Mac et IP comptent comme des données personnelles. La collecte des informations concernant une personne donnée nécessite de la vigilance, surtout celles qui ont trait aux ayants-droits des salariés. En effet, elles peuvent renseigner autrui sur leur orientation sexuelle que l’on peut qualifier de donnée sensible.
Se conformer au RGPD
Le RGPD repose sur la collecte, le traitement et la conservation des données à caractère personnel. Elles doivent être traitées de manière transparente, loyale et licite au regard de l’individu concerné. La collecte doit uniquement être effectuée à des fins légitimes, explicites et déterminées. Pour être en conformité avec le RGPD, votre entreprise doit recueillir de manière limitée, pertinente et adéquate le minimum de données. Une fois qu’elles sont collectées, elles doivent être tenues à jour et maintenues exactes. Conservez-les sous une forme qui permet d’identifier la personne sur une durée qui n’excède pas le temps nécessaire au regard des finalités qui ont nécessité leur traitement. Quant au traitement, il doit être effectué de manière à garantir une parfaite sécurité, y compris contre la perte, le traitement illicite et non autorisé. Nous vous encourageons à réaliser un audit RGPD qui vous permettra de connaître la situation RGPD de votre enseigne, de mettre en place un plan d’action pour vous mettre en conformité.
Obligation de respect du RGPD et formation de sensibilisation
Le RGPD vise à mieux encadrer la circulation et le traitement des données personnelles des personnes physiques. Ses principaux objectifs sont de renforcer le droit des individus dont les informations sont traitées, mais aussi de responsabiliser les enseignes chargées du traitement grâce au mécanisme d’accountability.
L’obligation de respecter le RGPD
Le concept d’accountability encourage les entreprises à réaliser l’autocontrôle et met un terme au mécanisme de formalités préalables. La mise en œuvre de ce nouveau règlement crée de nouvelles obligations pour l’entreprise. Elle représente également une aubaine pour sécuriser les traitements, pour valoriser les données et pour renforcer l’image ainsi que la réputation la société. La mise en conformité représente de ce fait un véritable avantage concurrentiel. Ces obligations consistent au respect du principe de protection des données dites personnelles et de la vie privée. Il s’agit également d’avoir une vision globale des traitements. Une entreprise de 250 employés ou une enseigne qui traite des données régulièrement doit recenser les opérations dans un registre des traitements. Adhérer à des codes de conduite ou obtenir des certifications auprès des sous-traitants ou des responsables de traitement vous aidera à prouver que les traitements respectent les règles applicables.
La formation de sensibilisation
La formation de sensibilisation de vos collaborateurs à la protection des données personnelles permet à votre entreprise de se protéger des attaques extérieures, de respecter ses obligations légales et de gagner un avantage concurrentiel. Elle est obligatoire et concerne l’ensemble des collaborateurs et plus particulièrement les salariés qui participent aux opérations de traitement. Le DPO est le principal acteur qu’il convient de former en priorité, car il est essentiel qu’il possède les connaissances spécialisées du droit ainsi que des pratiques concernant la protection de données. En matière de sensibilisation, privilégiez le e-learning sur les MOOC de la CNIL et de l’ANSSI.
Le point sur le DPO
Concrètement, plusieurs étapes doivent être menées par une entreprise pour se conformer aux principes du RGPD. Il convient de commencer par désigner un pilote : un délégué à la protection des données (DPO).
Le DPO
Désigner un délégué est obligatoire pour les enseignes publiques et pour les sociétés dont la principale activité nécessite la réalisation d’un suivi à grande échelle, systématique et régulier des personnes. Si vous traitez une grande quantité de données sensibles ou des informations concernant des infractions ou des condamnations, la désignation d’un DPO est également obligatoire. Pour les autres cas, désigner un délégué n’est pas une obligation, mais est fortement recommandé par la CNIL. Il sera un relais interne qui se chargera d’assurer la mise en conformité de la société au règlement européen. Le traitement à grande échelle est défini par la CNIL, comme les traitements qui gèrent les données de voyageurs qui utilisent des transports en commun. Les opérations concernant les données de clients qui sont gérées par des compagnies d’assurance, des banques, des FAI ou des opérateurs téléphoniques sont également considérées comme des traitements de données à grande échelle.
Le rôle du DPO
Le délégué s’occupe de la mise en conformité de l’enseigne en matière de données personnelles. Il se charge principalement d’aiguiller et d’informer le responsable du traitement ou le sous-traitant ainsi que leurs employés. Il lui revient également de veiller au respect du règlement et du droit national concernant la protection des données. Il coopère avec l’autorité chargée du contrôle et sert de point de contact avec celle-ci. Pour finir, le DPO conseille l’entreprise sur la réalisation d’études de l’impact sur la protection des informations et vérifie qu’elles ont été menées. Même si le délégué peut être désigné en interne, il est également possible qu’il soit mutualisé entre plusieurs entreprises, dans des associations ou des fédérations professionnelles.
