Un point sur : Les nouveautés en matière de protection des données personnelles dans l’entreprise

De quoi s’agit-il ?

Le 25 mai 2018, entrera en application le Règlement Général de Protection des Données personnelles (RGPD) issue du droit européen, qui a pour but de conduire les entreprises à mettre en conformité leurs traitements de données personnelles afin de tenir compte de l’évolution des nouvelles technologies depuis l’adoption des anciennes règles il y a plus de 20 ans.

> Par donnée personnelle, on entend : toute information permettant d’identifier directement ou indirectement une personne physique : nom, prénom, adresse, image, adresse IP, login et mots de passe, données de localisation….
   Dans  l’entreprise, il peut s’agir à la fois des données traitées par le service RH concernant les salariés (nom, prénom, n° de sécurité sociale, image de vidéosurveillance….) mais aussi des données relatives à l’ensemble des partenaires commerciaux (fournisseurs, clients….).

> Par traitement, on entend : collecte, transfert, utilisation, conservation et destruction des données personnelles.

Quelles sont les principales mesures du RGPD ? 

> Le recueil du consentement : le consentement de la personne dont on collecte et traite les données personnelles doit être donné par un « acte positif clair ». Un tel consentement peut être retiré par la personne quand elle le souhaite.
 
> La portabilité des données : tout individu a le droit d’obtenir que ses données à caractère personnel soient transmises directement d’un responsable du traitement à un autre.
> Le droit à l’effacement : toute personne concernée a la possibilité de demander l’effacement de ses données personnelles.

> L’information en cas de piratage : les entreprises victimes d’une attaque auront l’obligation d’alerter immédiatement la CNIL. Elles devront également prévenir les personnes dont les données sont collectées si les données dérobées sont exploitables par les pirates.

Que l’employeur doit-il faire? 

> Analyser la façon dont sont collectées et traitées les données personnelles dans l’entreprise :
quelles sont les données concernées ?
Qu’en fait-on ? Pourquoi ? Combien de temps sont-elle conservées ?...
> Passer en revue ou mettre en place les outils et procédures d’information et de traitement des demandes des personnes concernées :
•Consentement : il faut pouvoir prouver que l’on a bien recueilli le consentement exprimé par un acte positif des personnes concernées quand cela est nécessaire (plus de case pré-remplie)
 
•Portabilité des données : quand une personne demande à ce que ses données lui soient restituées, il faut le faire dans un format permettant à la personne de transférer à nouveau les données à un autre interlocuteur ;
 
•Mise à jour régulière des données personnelles
 
•Possibilité d’identifier à tout moment les données collectées, leur utilisation, mise à jour, destruction pour pouvoir en justifier auprès de la personne concernée qui en fait la demande.

> Mettre en place les outils conformes à la loi :
• Mise en place et tenue d’un registre détaillé des activités de traitement pour les entreprises de plus de 250 salariés. Pour les autres, un tel registre est conseillé pour pouvoir être en mesure de tracer l’utilisation des données et répondre aux différentes demandes des personnes concernées.

La CNIL fournit sur son site un modèle de registre sous forme de tableau Excel : (https://www.cnil.fr/sites/default/files/atoms/files/registre-reglement-publie.xlsx )
• Mise en place d’une procédure de notification des violations : en cas de violation des données personnelles, le RGPD impose de le notifier à la CNIL dans les 72 heures de sa connaissance. Il impose aussi de tenir un registre des violations assez détaillé.
 
• Information des salariés : clauses particulières dans les contrats de travail afin d’autoriser le traitement des données personnelles des salariés, mise en place d’une charte relative aux données personnelles (que l’on peut inclure dans la charte informatique de l’entreprise). 
 
• Désignation d’un Délégué à la protection des données : cette désignation n’est obligatoire que pour les entreprises réalisant un suivi régulier et systématique de personnes à grande échelle mais peut être un moyen de s’assurer de la conformité du RGPD dans les autres (pour plus d’information : https://www.cnil.fr/fr/devenir-delegue-la-protection-des-donnees )

• Mise à jour des contrats avec les sous-traitants : il convient de s’assurer que le sous-traitant respecte et est en conformité avec le RGPD quand il traite des données personnelles pour le compte du responsable du traitement, au moyen notamment de clauses contractuelles le lui imposant.
LA CNIL A MIS EN PLACE UNE METHODOLOGIE POUR AIDER LES ENTREPRISES À SE METTRE EN CONFORMITE EN 6 ÉTAPES : https://www.cnil.fr/fr/principes-cles/reglement-europeen-se-preparer-en-6-etapes

Quelles sanctions ?

>  Le RGPD réaffirme le pouvoir d’enquête de la CNIL qui peut ordonner la communication de toute information utile, mener des enquêtes sous la forme d’audits, obtenir l’accès à toutes les données nécessaires à l’accomplissement de ses missions…

> Le RGPD dresse une liste détaillée des pouvoirs dont dispose la CNIL, qui pourra notamment :
•Prononcer un avertissement ;
•Mettre en demeure l’entreprise ;
•Limiter un traitement temporairement ou définitivement ;
•Suspendre les flux de données ;
•Ordonner de satisfaire aux demandes des personnes ;
•Ordonner le rectification, la limitation ou l’effacement des données ;
•Retirer la certification délivrée.

> Le RGPD augmente significativement le montant de l’amende pouvant être prononcée en complément ou à la place des sanctions décrites.


>> retour aux actualités