RGPD : Les données dans l’entreprise et au service de l’entreprise 

Actualité
INFOREG

Utilisation des données, la nécessaire conformité au RGPD ?

Le RGPD s’applique à toute organisation, (publique et privée, quelques soient sa taille, son pays d’implantation et son activité), qui traite des données personnelles pour son compte ou non.

C’est quoi le RGPD ?

L’évolution des technologies et de nos sociétés par l’usage accrus du numérique a justifié une adaptation de la réglementation relative aux données personnelles. 


Ce nouveau règlement européen renforce le contrôle par les citoyens de l’utilisation qui peut être faite de leurs données personnelles et offre un cadre juridique unique aux professionnels leur permettant de développer leurs activités numériques au sein de l’Union européenne en se fondant sur la confiance des utilisateurs.

C’est quoi une donnée personnelle ? 

D’après la CNIL, une "donnée personnelle" est "toute information se rapportant à une personne physique identifiée ou identifiable".

 

Une personne peut être identifiée :

  • directement exemple : nom, prénom)
  • indirectement (exemple : par un identifiant (n° client), un numéro (de téléphone), une donnée biométrique, la voix ou l’image.
  • L’identification d’une personne physique peut être réalisée :
  • à partir d’une seule donnée ;
  • à partir du croisement d’un ensemble de données. 

C’est quoi un traitement de données personnelles ? 

D’après la CNIL, un "traitement de données personnelles" est une opération, ou ensemble d’opérations, portant sur des données personnelles, quel que soit le procédé utilisé (collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission diffusion ou toute autre forme de mise à disposition, rapprochement).

Est-ce que mon entreprise est concernée par cette nouvelle réglementation européenne ? 

Le RGPD s’applique à toute organisation, (publique et privée, quelques soient sa taille, son pays d’implantation et son activité), qui traite des données personnelles pour son compte ou non, dès lors :
 

  • qu’elle est établie sur le territoire de l’Union européenne ; 
  • que son activité cible directement des résidents européens.

Selon l’activité des organisations, elles seront plus ou moins concernées par cette législation.

 

Le RGPD concerne aussi les sous-traitants qui traitent des données personnelles pour le compte d’autres organismes.

En quoi mon entreprise est impactée ?

Le développement de l’informatique implique inéluctablement la collecte de plus en plus systématique de données personnelles par l’organisme collecteur et/ou son sous-traitant. Ainsi, il découle du traitement de ces données personnelles un certain nombre d’obligations légales de mise en conformité auxquelles seront soumis ces organismes.

Passer à l’action et maitriser sa conformité : une opportunité économique pour son entreprise 

Premières étapes de mise en conformité 

Finalité : améliorer son efficacité commerciale et renforcer la confiance des clients 

Comment constituer un registre de traitements de données et que contient-il ?

Le registre est un outil de démonstration de la conformité de l’entreprise au RGPD. 

L’entreprise va devoir Identifier ses activités principales qui nécessitent la collecte et le traitement de données (exemples : recrutement, gestion de la paye, formation, gestion des badges et des accès, statistiques de ventes, gestion des clients prospects, etc.).

 

Dans le registre, il faut créer une fiche pour chaque activité recensée, en précisant :
 

  • l’objectif poursuivi (la finalité) ;
  • les catégories de données utilisées (exemple : nom, prénom, date de naissance, salaire, etc.) ;
  • qui a accès aux données dans l’organisme (le destinataire);
  • la durée de conservation de ces données.

 

La constitution de ce dossier permet à l’entreprise de  s’interroger sur les données dont elle a réellement besoin. 


Pour chaque fiche de registre créée, il faut se demander :
 

  • ai-je vraiment besoin de cette donnée dans le cadre de mon traitement ? ;
  • vous ne traitez aucune donnée dite « sensible » ou, si c’est le cas, que vous avez bien le droit de les traiter ;
  • seules les personnes habilitées ont accès aux données dont elles ont besoin ? ;
  • est-il pertinent de conserver toutes les données aussi longtemps ? 
  • les données sont-elles suffisamment protégées ?

Sa création et sa mise à jour sont ainsi l’occasion de faire le tri dans les données collectées et permet de redéfinir un plan d’action de mise en conformité des traitements aux règles de protection des données.

Quels sont les droits dont peuvent disposer les personnes concernées par la collecte de leurs données personnelles ? 

Dans le cadre de la conformité au règlement européenne les organismes collecteurs sont assujettis à une obligation de transparence qui impose d’informer les personnes concernées par la collecte de leurs données personnelles de leurs droits. 

 

Il s’agit notamment du : Droit d’accès, de rectification, de limitation, d’opposition et d’effacement. 

 

Comment informer les personnes concernées par la collecte de leurs données personnelles, sur leurs droits ?

Permettre aux personnes de comprendre la manière dont sont utilisées leurs données personnelles renforcera la confiance et favorisera donc l’activité, y compris à l’export.

 

À chaque collecte de données personnelles, le support utilisé (formulaire, questionnaire, etc.) doit comporter des mentions d’information qui doivent répondre notamment aux éléments suivants :
 

  • pourquoi vous collectez les données (a finalité) ;
  • ce qui vous autorise à traiter ces données (le fondement juridique) ;
  • qui a accès aux données ;
  • combien de temps vous les conservez ;
  • les modalités selon lesquelles les personnes concernées peuvent exercer leurs droits ;
  • si vous transférez des données hors de l’Union européenne.

Comment permettre aux personnes d’exercer facilement leurs droits ? 

Donner la possibilité aux personnes de maîtriser leurs données personnelles contribue à valoriser une image d’entreprise sérieuse et responsable.

 

Les organismes collecteurs doivent donner aux personnes dont ils traitent les données, les moyens d’exercer effectivement leurs droits : 
 

  • Si l’organisme dispose d’un site web, prévoir un formulaire de contact spécifique, un numéro de téléphone ou une adresse de messagerie dédiée. 
  • Si l’organisme propose un compte en ligne, donnez aux clients la possibilité d’exercer leurs droits à partir de leur compte.

Comment sécuriser les données personnelles détenues ?

Il ne faut pas faire l’impasse sur les conséquences pour les personnes concernées de la perte, la divulgation, la modification non souhaitée de leurs données. Il est donc impératif de prendre les mesures nécessaires pour minimiser ces risques.

 

Les mesures à prendre, tant informatiques que physiques, different selon la sensibilité des données  traitées et des risques qui pèsent sur les personnes en cas d’incident. 

 

Ainsi, différentes actions doivent être mises en place telles que : 
 

  • mises à jour des antivirus et logiciels ;
  • changement régulier des mots de passe et utilisation de mots de passe complexes, ou chiffrement des données dans certaines situations. En cas de perte ou vol d’un outil informatique, il sera plus difficile pour un tiers d’y accéder.

Il faut signaler toute violation de données à la CNIL dans les 72 heures si cette violation est susceptible de représenter un risque pour les droits et libertés des personnes concernées. Cette notification s’effectue en ligne sur le site internet de la CNIL.

Assurer une protection optimale des données personnelles et documenter sa conformitéFinalité : Améliorer la sécurité et la gestion des données de son entreprise 

Qu’est ce qu’un délégué à la protection des données (DPO) et suis-je dans l’obligation dans désigner un ? 

Un DPO est chargé de s’assurer de la mise en conformité au règlement européen.

 

La désignation d’un DPO est obligatoire pour : 
 

  • un organisme public 
  • une entreprise dont l’activité de base amène à réaliser un suivi régulier et systématique des personnes à grande échelle, ou à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions.
  • Quelque soit la situation de l’organisme, il est dans tous les cas recommandé de désigner un DPO : c’est un atout majeur pour comprendre et respecter les obligations du règlement, dialoguer avec les autorités de protection des données et réduire les risques de contentieux.

Qu’est ce que la sous-traitance et quelles sont les obligations inhérentes à ce statut ?  

Si un organisme traite ou collecte des données pour le compte d’une autre entité (entreprise, collectivité, association), il a alors des obligations spécifiques en matière de sécurité, de confidentialité et de documentation de son activité pour garantir la protection des données qui lui  sont confiées.

 

Les sous-traitants ont également une obligation de conseil auprès de leurs clients et doivent les aider dans la mise en œuvre de certaines obligations du règlement, telles que :  étude d’impact sur la vie privée, notification de violation de données, sécurité…

 

Les sous-traitants doivent enfin tenir un registre des activités de traitement effectuées pour le compte de leurs clients en complément de leurs propres traitements. 

 

Pour déterminer les obligations respectives des responsables de traitements et de leurs sous-traitants, il est nécessaire de rédiger un contrat.

 

Qu’est-ce qu’une analyse d'impact relative à la protection des données (AIPD) et quand doit elle être menée ? 

Une AIPD est un outil d’évaluation d’impact sur la vie privée. Elle doit être réalisée avant la mise en œuvre du traitement. 

 

Une AIPD est obligatoire pour tout traitement susceptible d'engendrer des risques élevés pour les droits et libertés des personnes concernées. 

 

Quels documents dois-je conserver afin de prouver sa conformité ?

Pour prouver sa conformité au règlement, il faut constituer et regrouper la documentation nécessaire : 
 

  • la documentation sur les traitements de données personnelles tels que : registre de traitement, AIPD, encadrement des transferts de données hors de l’Union européenne ; 
  • la documentation concernant l’information des personnes telle que : les mentions d’information et les procédures mises en place pour l’exercice des droits ;
  • la documentation concernant les contrats définissant les rôles et les responsabilités des différents acteurs tels que : contrats avec les sous-traitants, preuves du consentement des personnes concernées …

Document rédigé par les juristes du réseau EEN (Enterprise Europe Network)

Ce document a été rédigé par les juristes du réseau EEN pour apporter un soutien expert aux entreprises pour faire face à l'impact de la crise sanitaire liée au coronavirus.
 

Mis à jour le 07/07/2020
Le réseau EEN
Enterprise Europe Network

Depuis plus de 10 ans, le réseau Enterprise Europe Network aide les petites entreprises à tirer le meilleur parti du marché européen.

Entreprise relancez votre activité

Faites le point sur la reprise de votre activité avec la "Check-list Relance" et balayez l'ensemble des questions clefs pour reprendre en toute sécurité.