RGPD, Protection des données personnelles 



RGPD, de nouvelles obligations pour les entreprises

L’actualité récente (Facebook/Cambridge Analytica) montre à quel point le grand public accorde de l’importance au sujet de la protection des données personnelles. Il y a eu une prise de conscience de l’impact que peuvent avoir les nouvelles technologies lorsqu’elles sont employées par des gens malveillants.

Pour s’adapter aux enjeux du numérique et garantir une meilleure maîtrise des données personnelles, le législateur européen complète les obligations d’une loi française de 1978 avec le Règlement Général sur la Protection des Données (RGPD).

Un texte dont on comprend l’importance lorsqu’il s’agit de renforcer le contrôle par les citoyens de l’exploitation des données par les réseaux sociaux, le commerce en ligne, les publicitaires et annonceurs.

La médiatisation récente du RGPD n’a cependant pas rassuré les TPE et PME sur son application concrète et laisse beaucoup de questions en suspens.

Néanmoins, garantir à ses clients, mais aussi à ses collaborateurs ou ses fournisseurs que l’on traite leurs données en toute éthique est un argument fort, qui va prendre une importance croissante.

Pour vous aider à y voir plus clair, le MAG va tenter de vous donner les grandes lignes de ce texte complexe.

Qu’est-ce que le RGPD et pourquoi ce texte ?

C’est le nouveau texte de référence européen en matière de protection des données à caractère personnel. Ce règlement européen s’inscrit dans la continuité de la Loi de 1978. Il renforce le contrôle par le citoyen de l’utilisation qui peut être faite de ces données et vise à responsabiliser davantage les entités publiques et privées qui traitent les données personnelles. Enfin, il harmonise les règles au niveau Européen en offrant un cadre juridique unique.

Qui est concerné ?

Toutes les entreprises ou organismes, quelles que soient leurs tailles, à partir du moment où elles traitent des données permettant d’identifier des personnes physiques.

Peu importe que votre clientèle soit composée de particuliers ou de professionnels : l’adresse email professionnelle d’un individu est désormais considérée comme une donnée personnelle.

Toutefois, selon votre activité, vous serez plus ou moins concernées par le RGPD (un site de vente en ligne, un nombre de clients et de fournisseurs importants, des prospects). Si les données personnelles ne sont pas au cœur de votre activité, les moyens à déployer pour vous mettre en conformité ne seront pas très importants.

En fonction de leur activité, les entreprises seront plus ou moins impactées par le RGPD, travail en BtoB (Business to Business - d’entreprise à entreprise) ou en BtoC (Business to Consumer - d’entreprise au consommateur).

Le RGPD concerne aussi les sous-traitants qui traitent des données personnelles pour le compte d’autres organismes.

C’est quoi une donnée personnelle ?

Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres (ex. nom, numéro d’immatriculation, numéro de téléphone, photographie, date de naissance, commune de résidence, empreinte digitale...).

Le texte distingue (pour une obligation de sécurité renforcée) les données dites « sensibles ». Il s'agit notamment des informations détenues et faisant « apparaître, directement ou indirectement les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l'appartenance syndicale des personnes, ou relatives à la santé ou à la vie sexuelle de celles-ci » (source CNIL).

D'autres données sont également considérées comme étant sensibles comme, par exemple, les données comportant des appréciations sur les difficultés sociales des personnes ou encore les données comprenant le numéro de sécurité sociale d'un individu.

Face à l’omniprésence de ces données et de leurs utilisations, il est nécessaire d’adapter le cadre juridique du traitement des données personnelles créé en 1978 pour en garantir une meilleure maîtrise. En effet, la loi « Informatique et Libertés » du 6 janvier 1978, modifiée par la loi du 6 août 2004, a défini les principes à respecter lors de la collecte, du traitement et de la conservation des données personnelles. Elle a renforcé les droits des personnes sur leurs données.

C’est quoi un traitement de données personnelles ?

Un traitement de données personnelles est une opération, ou ensemble d’opérations, portant sur des données personnelles, quel que soit le procédé utilisé (collecte, enregistrement, organisation, conservation, modification, consultation).

Tenue d’un fichier clients, carte de fidélité, collecte de coordonnées via un questionnaire, mise à jour d’un fichier fournisseur. Tout format est concerné (papier, informatisé).

Quelles sont les principales nouvelles obligations prévues par ce texte ?

Renforcer le droit des personnes dont on utilise les données

Salariés, clients et fournisseurs doivent être informés des données récoltées, avertis qu'ils peuvent accéder aux informations et qu'ils peuvent demander à les modifier.

Responsabiliser les acteurs impliqués dans le traitement de ces dernières,

L’entreprise doit mettre en place des mesures de protection et de sécurisation des données appropriées et pouvoir, si la CNIL le lui demande, être en mesure de prouver qu'elle respecte bien le règlement. Chaque entreprise est libre de s’organiser à sa manière.

Seules les données répondant à une finalité précise pourront être collectées. Il faudra donc être sélectif, la collecte « par défaut » étant désormais proscrite. En outre, la durée de conservation des données sera limitée dans le temps. Elles devront aussi être mises à jour et actualisées.

Pour bien faire, les entreprises devront s’assurer devront du consentement des personnes concernées, c’est-à-dire recueillir « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ».

Le consentement ne sera pas requis si les données personnelles sont nécessaires à l’exécution du contrat, dans le cadre d’une obligation légale, pour la préservation des intérêts vitaux des parties prenantes ou pour l’exécution d’une mission de service public

Que doivent faire les entreprises ?

Recenser les données en possession de l'entreprise et éventuellement les données confiées à des sous-traitants.

Se poser les questions suivantes : les données collectées sont-elles nécessaires à la réalisation de la mission ? Quelle est la finalité de ce stockage ? Où sont-elles conservées ? Pendant combien de temps ? Quelles sont les mesures de protection mises en œuvre ?

Mettre en place des procédures internes visant à garantir la protection des données, et surtout documenter les différentes étapes de la mise en conformité.

Différentes actions doivent être mises en place : mises à jour de vos antivirus et logiciels, changement régulier des mots de passe et utilisation de mots de passe complexes, ou chiffrement de vos données dans certaines situations. En cas de perte ou vol d’un outil informatique, il sera plus difficile pour un tiers d’y accéder.

Notre conseil : Il ne s’agit pas de tout faire en même temps ! Vous devez prioriser vos actions. Comme le conseille la CNIL elle-même, vous pouvez commencer par vous conformer au RGPD pour les informations les plus sensibles. Souvent, les données clients sont traitées avant les registres concernant les salariés.

 

Toutes les entreprises dont l’activité principale exige « un suivi régulier et systématique à grande échelle de personne » ou traitent à grande échelle des données sensibles, auront l’obligation de nommer un délégué à la protection des données (DPO). La plupart des PME-TPE ne sont pas concernées par cette obligation même si elle devrait apporter de l’efficacité dans la mise en conformité de l’entreprise. Un DPO mutualisé ou externe peut être envisagée.

Le règlement étant en vigueur depuis le 25 mai 2018 ; quelles sont les sanctions prévues ?

Afin de crédibiliser la régulation, le texte donne notamment un pouvoir de sanction accru à la Commission Nationale de l'Informatique et des Libertés (CNIL).

Le RGPD donne à la CNIL la possibilité de prononcer une pénalité financière pouvant s'élever dans les cas les plus graves jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu.

A noter que les déclarations à la Cnil sont supprimées, tout comme les demandes d'autorisation préalables (pour mettre en place une vidéosurveillance des salariés, par exemple).  

Précision : la CNIL affirme que, au moins dans un premier temps, « la date du 25 mai ne sera pas une date couperet annonciatrice d'une pluie de sanctions, assure Isabelle Falque-Pierrotin, la présidente de la CNIL. Nous continuerons d'accompagner les entreprises pendant plusieurs mois. »

A qui s’adresser ?

La mise en œuvre du Règlement Général sur la Protection des Données personnelles doit être abordé avec méthode, il est important de s'en saisir dès à présent et au besoin, de vous faire accompagner dans vos démarches.

Les chambres consulaires ont lancé des sessions d’information et d’accompagnement adaptées à la taille des entreprises.

Les fédérations et syndicats professionnels ont également l’avantage de bien connaître l’activité de leurs membres et peuvent proposer des solutions adaptées.

La CNIL a mis en ligne sur son site internet, associée à BPI France, un guide d’accompagnement des PME-TPE comprenant un plan d'actions en six étapes, pour les aider à se mettre en conformité avec le règlement.Le site dispose de nombreux contenus (modèle, clause-type…) pour ceux qui souhaiteront accéder à une documentation plus technique et plus complète.

Certains acteurs peu scrupuleux profitent du RGPD pour proposer des prestations excessivement couteuses ou générer des appels surtaxés.


Tags : RGPC, CNIL, BtoC, BtoB, données personnelles, réglementation


A lire aussi