{"id":13325,"date":"2018-09-28T14:00:44","date_gmt":"2018-09-28T12:00:44","guid":{"rendered":"http:\/\/activite-piscine.com\/?p=13325"},"modified":"2018-09-28T15:13:28","modified_gmt":"2018-09-28T13:13:28","slug":"rgpd-reglement-general-sur-la-protection-des-donnees","status":"publish","type":"post","link":"https:\/\/activite-piscine.com\/en\/gestion-juridique\/gestion-et-productivite\/rgpd-reglement-general-sur-la-protection-des-donnees\/","title":{"rendered":"RGPD (R\u00e8glement G\u00e9n\u00e9ral sur la Protection des Donn\u00e9es) \u00a0"},"content":{"rendered":"

comment aborder la nouvelle r\u00e9glementation ?<\/h2>\n

Le r\u00e8glement europ\u00e9en sur la protection des donn\u00e9es personnelles (RGPD), s\u2019applique depuis le 25 mai dans tous les \u00c9tats membres de l\u2019Union europ\u00e9enne. A la cl\u00e9 des obligations drastiques pour les entreprises qui doivent se plier \u00e0 ces nouvelles r\u00e8gles sous peine d\u2019\u00eatre fortement p\u00e9nalis\u00e9es par des amendes.<\/p>\n

\"RGPD<\/p>\n

Dans la sph\u00e8re priv\u00e9e comme dans la vie professionnelle, chacun g\u00e9n\u00e8re un nombre important de donn\u00e9es. Le ph\u00e9nom\u00e8ne n\u2019est pas nouveau, mais il prend de l\u2019ampleur et surtout il touche des donn\u00e9es personnelles qui peuvent \u00eatre sensibles et qui pourtant \u00e9chappent au contr\u00f4le de ceux qu\u2019elles concernent. Le r\u00e8glement europ\u00e9en sur la protection des donn\u00e9es personnelles a donc pour objectif, d\u2019une part, de mieux prot\u00e9ger les citoyens quant \u00e0 l\u2019utilisation de leurs donn\u00e9es, et d\u2019autre part d\u2019aller vers une harmonisation des r\u00e8gles en Europe en offrant un cadre juridique unique pour les professionnels. Derri\u00e8re les intentions, la mise en musique va demander aux producteurs de donn\u00e9es, donc aux chefs d\u2019entreprise, de mettre en place de nouvelles pratiques. Des changements qui imposent un travail de longue haleine, surtout pour les petites entreprises, qui partent souvent de z\u00e9ro. Sans compter qu\u2019il faudra faire vite, car toute non-conformit\u00e9 aux exigences nouvelles est d\u00e9sormais passible de fortes sanctions. Les entreprises devront mettre en place des mesures de protection des donn\u00e9es appropri\u00e9es et d\u00e9montrer cette conformit\u00e9 \u00e0 tout moment, sinon elles encourent des amendes pouvant s\u2019\u00e9lever \u00e0 20 millions d\u2019euros ou jusqu\u2019\u00e0 4 % de leur chiffre d\u2019affaires annuel global. \u00ab Les sanctions seront proportionn\u00e9es et dissuasives<\/em> \u00bb, temp\u00e8re toutefois Me Jean-Philippe Souyris, avocat au sein du cabinet Haas Avocats. Il n\u2019emp\u00eache : mieux vaut se mettre au diapason de ce nouveau r\u00e8glement, finalement moins contraignant qu\u2019il n\u2019y para\u00eet. Mode d\u2019emploi de la mise en place du RGPD.
\nQuelles donn\u00e9es sont concern\u00e9es
\nLe RGPD vise \u00e0 faire en sorte que les donn\u00e9es personnelles ne tombent pas entre les mains de personnes malintentionn\u00e9es, \u00e0 tout le moins que chacun puisse d\u00e9cider qui peut conna\u00eetre les donn\u00e9es le concernant. Une premi\u00e8re \u00e9tape passe donc par la d\u00e9finition du terme donn\u00e9e. \u00ab Le RGDP vise toute donn\u00e9e directement ou indirectement identifiante d\u2019une personne physique<\/em> \u00bb, r\u00e9sume Me<\/sup> Souyris. Il peut donc s\u2019agir d\u2019un nom, d\u2019une photographie, d\u2019une adresse IP, d\u2019un num\u00e9ro de t\u00e9l\u00e9phone, d\u2019un identifiant de connexion informatique, d\u2019une adresse postale, d\u2019une empreinte, d\u2019un enregistrement vocal, d\u2019un num\u00e9ro de s\u00e9curit\u00e9 sociale, d\u2019un mail, etc.<\/p>\n

 <\/p>\n

Quelles actions sont concern\u00e9es ?<\/h2>\n

L\u2019objectif du RGPD est d\u2019encadrer l\u2019utilisation de ces donn\u00e9es. Il impose donc une sorte de formatage d\u00e8s lors que l\u2019on touche \u00e0 ces donn\u00e9es. \u00ab La volont\u00e9 du l\u00e9gislateur est d\u2019englober le maximum de cas d\u2019application, c\u2019est pourquoi le traitement des donn\u00e9es concerne aussi bien des actions automatis\u00e9es que manuelles<\/em> \u00bb, pr\u00e9cise l\u2019avocat. Plus concr\u00e8tement, la r\u00e9daction d\u2019un contrat de travail, la mise en place d\u2019un processus de recrutement, l\u2019\u00e9change d\u2019informations financi\u00e8res avec son comptable, les administrations, mais aussi tout simplement un fichier constitu\u00e9 en vue de l\u2019attribution d\u2019une prime ou d\u2019une m\u00e9daille du travail est consid\u00e9r\u00e9 comme un traitement de donn\u00e9es et doit donc \u00eatre trait\u00e9 en tant que tel ; et ce, que ces donn\u00e9es soient trait\u00e9es sous forme de fichier informatis\u00e9 ou simplement sur un document papier.<\/p>\n

 <\/p>\n

Comment traiter les donn\u00e9es ?<\/h2>\n

Une fois les donn\u00e9es rep\u00e9r\u00e9es, reste \u00e0 les traiter dans les r\u00e8gles impos\u00e9es par le RGPD. \u00ab Le principe est de traiter ces donn\u00e9es de fa\u00e7on licite, loyale et transparente<\/em>\u00a0\u00bb, explique Me<\/sup> Souyris. De ce fait, ces donn\u00e9es doivent \u00eatre uniquement collect\u00e9es pour des finalit\u00e9s d\u00e9termin\u00e9es, explicites et l\u00e9gitimes, et ne pas \u00eatre trait\u00e9es ult\u00e9rieurement d\u2019une mani\u00e8re incompatible avec ces finalit\u00e9s. Elles doivent \u00eatre pertinentes, limit\u00e9es \u00e0 ce qui est n\u00e9cessaire au regard des finalit\u00e9s pour lesquelles elles sont trait\u00e9es, exactes et, si n\u00e9cessaire, tenues \u00e0 jour. De plus, elles seront conserv\u00e9es sous une forme permettant l\u2019identification des personnes concern\u00e9es pendant une dur\u00e9e n\u2019exc\u00e9dant pas celle n\u00e9cessaire au regard des finalit\u00e9s pour lesquelles elles sont trait\u00e9es. \u00ab La Commission nationale informatique et libert\u00e9 charg\u00e9e de veiller \u00e0 la bonne ex\u00e9cution du RGPD conseille par exemple une dur\u00e9e de conservation de 2 ans pour un CV, ou de 3 ans \u00e0 partir du dernier contact pour les fichiers commerciaux<\/em> \u00bb, cite Me<\/sup> Souyris \u00e0 titre d\u2019exemple. Enfin, la CNIL impose de traiter ces donn\u00e9es de fa\u00e7on \u00e0 \u00ab garantir une s\u00e9curit\u00e9 appropri\u00e9e des donn\u00e9es \u00e0 caract\u00e8re personnel, y compris la protection contre le traitement non autoris\u00e9 ou illicite et contre la perte, la destruction ou les d\u00e9g\u00e2ts d\u2019origine accidentelle, \u00e0 l\u2019aide de mesures techniques ou organisationnelles appropri\u00e9es<\/em> \u00bb.<\/p>\n

 <\/p>\n

Comment interagir avec la personne concern\u00e9e par les donn\u00e9es<\/h2>\n

\u00ab L\u2019id\u00e9e du RGPD est de laisser \u00e0 la personne le droit de garder la ma\u00eetrise de ses donn\u00e9es<\/em>\u00a0\u00bb, r\u00e9sume l\u2019avocat. Ce faisant, il est imp\u00e9ratif de s\u2019organiser pour informer le \u00ab propri\u00e9taire \u00bb des donn\u00e9es de la fa\u00e7on dont on les conserve, des personnes \u00e0 qui elles sont transmises, et du temps durant lequel l\u2019entreprise les conserve. \u00ab Cette information peut faire l\u2019objet d\u2019une clause dans le contrat de travail ou d\u2019un chapitre de la charte informatique de l\u2019entreprise<\/em> \u00bb, pr\u00e9cise Me<\/sup> Souyris. Chaque personne dispose par ailleurs du droit de demander une copie des donn\u00e9es le concernant, d\u2019un droit de rectification s\u2019il rep\u00e8re une inexactitude et du droit \u00e0 l\u2019effacement de certaines donn\u00e9es sous r\u00e9serve bien \u00e9videmment du respect des obligations l\u00e9gales s\u2019imposant \u00e0 l\u2019entreprise.
\n\u00ab Les manquements les plus fr\u00e9quents concernent pr\u00e9cis\u00e9ment ces r\u00e8gles li\u00e9es \u00e0 l\u2019information des personnes et aux dur\u00e9es de conservation<\/em> \u00bb, alerte l\u2019avocat.<\/p>\n

\"RGPD,<\/p>\n

Comment s\u2019organiser ?<\/h2>\n

Les obligations \u00e9tant pos\u00e9es, il faut que les entreprises s\u2019organisent pour les respecter. Le b\u00e9n\u00e9fice du doute est en leur faveur, puisque comme le pr\u00e9cise l\u2019avocat, \u00ab nous \u00e9tions jusque-l\u00e0 dans une logique d\u00e9clarative avec obligation de d\u00e9clarer les traitements des donn\u00e9es personnelles \u00e0 la CNIL. D\u00e9sormais, on sera dans une logique de responsabilisation, autrement dit l\u2019entreprise devra \u00eatre en mesure de prouver qu\u2019elle respecte les r\u00e8gles en cas de contr\u00f4le<\/em> \u00bb.
\nDans les administrations et les entreprises traitant des donn\u00e9es \u00e0 risque concernant par exemple la sant\u00e9 ou la s\u00e9curit\u00e9, le RGPD impose l\u2019affectation d\u2019un d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es qui se chargera des proc\u00e9dures de gestion des donn\u00e9es, dont il assurera la conformit\u00e9. Dans les petites entreprises, il est possible de nommer un salari\u00e9 ou un prestataire ext\u00e9rieur.
\nDe m\u00eame dans les entreprises de plus de 250 salari\u00e9s, il est d\u00e9sormais obligatoire d\u2019avoir un registre des traitements des donn\u00e9es. \u00ab M\u00eame s\u2019il n\u2019est pas obligatoire dans les PME, il est pr\u00e9f\u00e9rable de tenir un registre de traitement<\/em> \u00bb, conseille
\nMe <\/sup>Souyris. Ce document qui peut \u00eatre relativement simple (voir encadr\u00e9) permet en effet de cartographier ses actions et surtout de bien identifier leur finalit\u00e9 et les donn\u00e9es qui y sont associ\u00e9es.
\nAinsi, il suffit de r\u00e9pertorier dans ce registre les types de traitement de donn\u00e9es personnelles, les cat\u00e9gories de donn\u00e9es personnelles, les acteurs en contact avec ces donn\u00e9es. Pour chaque donn\u00e9e, il convient d\u2019indiquer pourquoi vous les avez recueillies (le but \u00e9tant de ne pas avoir plus de donn\u00e9es que n\u00e9cessaire), leur lieu de stockage et leur dur\u00e9e de conservation. Une fois ce registre \u00e9tabli, il sera plus facile d\u2019identifier les \u00e9ventuelles anomalies et les actions \u00e0 conduire pour se mettre en conformit\u00e9 avec le RGPD.<\/p>\n

 <\/p>\n

Les points de vigilance<\/h2>\n

Pour conserver en permanence un haut niveau de protection des donn\u00e9es, il sera certainement n\u00e9cessaire dans la plupart des organisations de mettre en place ou de revoir certains processus. Pas de panique pour autant, il s\u2019agit surtout d\u2019acqu\u00e9rir les \u00ab bons r\u00e9flexes \u00bb. Par exemple, de limiter l\u2019acc\u00e8s des salari\u00e9s aux donn\u00e9es des clients, afin que seuls les gestionnaires concern\u00e9s puissent en disposer, ou de mettre en place un syst\u00e8me informatique permettant d\u2019effacer les archives d\u2019anciens salari\u00e9s, une fois pass\u00e9s les d\u00e9lais de conservation impos\u00e9s par la loi.
\n\u00ab L\u2019id\u00e9e est de restreindre l\u2019acc\u00e8s aux donn\u00e9es aux seules personnes qui en ont v\u00e9ritablement besoin pour prendre en charge leur mission au sein de l\u2019entreprise<\/em>\u00a0\u00bb, pr\u00e9conise Me<\/sup> Souyris.
\nC\u2019est pourquoi certains intranets tr\u00e8s ouverts devront \u00eatre revus pour limiter les acc\u00e8s.
\nDe m\u00eame, il sera peut-\u00eatre utile d\u2019all\u00e9ger le contenu de certains dossiers contenant des informations personnelles remises aux chefs de service ou aux chefs d\u2019\u00e9quipe.<\/p>\n

\"Network<\/p>\n

 <\/p>\n

\n

Pour vous aider<\/strong><\/h4>\n

La mise en conformit\u00e9 avec le RGPD va demander de nouvelles habitudes et surtout, elle va susciter de nombreuses interrogations. C\u2019est pourquoi les chambres de commerce et d\u2019industrie et les chambres des m\u00e9tiers, mais aussi les syndicats patronaux et encore les organisations professionnelles ont mis en place de nombreuses r\u00e9unions d\u2019information sur le RGPD, voire des sessions de formation.
\nPar ailleurs, experts-comptables et avocats sont eux aussi \u00e0 pied d\u2019\u0153uvre pour accompagner leurs clients dans la mise en \u0153uvre de ce nouveau document. Enfin, BPI France et la CNIL ont \u00e9galement \u00e9dit\u00e9 des guides disponibles en ligne.
\nLes \u00e9tapes \u00e0 suivre pour se mettre au diapason du RGPD (source CNIL)<\/p>\n

QUI ?<\/strong>
\nInscrivez dans le registre le nom et les coordonn\u00e9es du responsable du traitement (et de son repr\u00e9sentant l\u00e9gal) et, le cas \u00e9ch\u00e9ant, du d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es.
\nIdentifiez les responsables des services op\u00e9rationnels traitant les donn\u00e9es au sein de votre organisme.
\n\u00c9tablissez la liste des sous-traitants.<\/p>\n

QUOI ?<\/strong>
\nIdentifiez les cat\u00e9gories de donn\u00e9es trait\u00e9es.
\nIdentifiez les donn\u00e9es susceptibles de soulever des risques en raison de leur sensibilit\u00e9 particuli\u00e8re (par exemple, les donn\u00e9es relatives \u00e0 la sant\u00e9 ou aux infractions).<\/p>\n

POURQUOI ?<\/strong>
\nIndiquez la ou les finalit\u00e9s pour lesquelles vous collectez ou traitez ces donn\u00e9es (exemples : gestion de la relation commerciale, gestion RH).<\/p>\n

O\u00d9 ?<\/strong>
\nD\u00e9terminez le lieu o\u00f9 les donn\u00e9es sont h\u00e9berg\u00e9es.
\nIndiquez dans quels pays les donn\u00e9es sont \u00e9ventuellement transf\u00e9r\u00e9es.<\/p>\n

JUSQU\u2019\u00c0 QUAND ?<\/strong>
\nIndiquez, pour chaque cat\u00e9gorie de donn\u00e9es, combien de temps vous les conservez.<\/p>\n

COMMENT ?<\/strong>
\nQuelles mesures de s\u00e9curit\u00e9 sont mises en \u0153uvre pour minimiser les risques d\u2019acc\u00e8s non autoris\u00e9s aux donn\u00e9es et donc d\u2019impact sur la vie priv\u00e9e des personnes concern\u00e9es ?<\/p>\n<\/div>\n

Texte : Fran\u00e7oise Sigot<\/em><\/p>","protected":false},"excerpt":{"rendered":"

comment aborder la nouvelle r\u00e9glementation ? Le r\u00e8glement europ\u00e9en sur la protection des donn\u00e9es personnelles (RGPD), s\u2019applique depuis le 25 mai dans tous les \u00c9tats membres de l\u2019Union europ\u00e9enne. A la cl\u00e9 des obligations drastiques pour les entreprises qui doivent se plier \u00e0 ces nouvelles r\u00e8gles sous peine d\u2019\u00eatre fortement p\u00e9nalis\u00e9es par des amendes. Dans […]<\/p>\n","protected":false},"author":18,"featured_media":13352,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[4,20],"tags":[],"class_list":["post-13325","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-business","category-gestion-et-productivite"],"_links":{"self":[{"href":"https:\/\/activite-piscine.com\/en\/wp-json\/wp\/v2\/posts\/13325","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/activite-piscine.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/activite-piscine.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/activite-piscine.com\/en\/wp-json\/wp\/v2\/users\/18"}],"replies":[{"embeddable":true,"href":"https:\/\/activite-piscine.com\/en\/wp-json\/wp\/v2\/comments?post=13325"}],"version-history":[{"count":0,"href":"https:\/\/activite-piscine.com\/en\/wp-json\/wp\/v2\/posts\/13325\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/activite-piscine.com\/en\/wp-json\/wp\/v2\/media\/13352"}],"wp:attachment":[{"href":"https:\/\/activite-piscine.com\/en\/wp-json\/wp\/v2\/media?parent=13325"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/activite-piscine.com\/en\/wp-json\/wp\/v2\/categories?post=13325"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/activite-piscine.com\/en\/wp-json\/wp\/v2\/tags?post=13325"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}