comment aborder la nouvelle réglementation ?
Le règlement européen sur la protection des données personnelles (RGPD), s’applique depuis le 25 mai dans tous les États membres de l’Union européenne. A la clé des obligations drastiques pour les entreprises qui doivent se plier à ces nouvelles règles sous peine d’être fortement pénalisées par des amendes.
Dans la sphère privée comme dans la vie professionnelle, chacun génère un nombre important de données. Le phénomène n’est pas nouveau, mais il prend de l’ampleur et surtout il touche des données personnelles qui peuvent être sensibles et qui pourtant échappent au contrôle de ceux qu’elles concernent. Le règlement européen sur la protection des données personnelles a donc pour objectif, d’une part, de mieux protéger les citoyens quant à l’utilisation de leurs données, et d’autre part d’aller vers une harmonisation des règles en Europe en offrant un cadre juridique unique pour les professionnels. Derrière les intentions, la mise en musique va demander aux producteurs de données, donc aux chefs d’entreprise, de mettre en place de nouvelles pratiques. Des changements qui imposent un travail de longue haleine, surtout pour les petites entreprises, qui partent souvent de zéro. Sans compter qu’il faudra faire vite, car toute non-conformité aux exigences nouvelles est désormais passible de fortes sanctions. Les entreprises devront mettre en place des mesures de protection des données appropriées et démontrer cette conformité à tout moment, sinon elles encourent des amendes pouvant s’élever à 20 millions d’euros ou jusqu’à 4 % de leur chiffre d’affaires annuel global. « Les sanctions seront proportionnées et dissuasives », tempère toutefois Me Jean-Philippe Souyris, avocat au sein du cabinet Haas Avocats. Il n’empêche : mieux vaut se mettre au diapason de ce nouveau règlement, finalement moins contraignant qu’il n’y paraît. Mode d’emploi de la mise en place du RGPD.
Quelles données sont concernées
Le RGPD vise à faire en sorte que les données personnelles ne tombent pas entre les mains de personnes malintentionnées, à tout le moins que chacun puisse décider qui peut connaître les données le concernant. Une première étape passe donc par la définition du terme donnée. « Le RGDP vise toute donnée directement ou indirectement identifiante d’une personne physique », résume Me Souyris. Il peut donc s’agir d’un nom, d’une photographie, d’une adresse IP, d’un numéro de téléphone, d’un identifiant de connexion informatique, d’une adresse postale, d’une empreinte, d’un enregistrement vocal, d’un numéro de sécurité sociale, d’un mail, etc.
Quelles actions sont concernées ?
L’objectif du RGPD est d’encadrer l’utilisation de ces données. Il impose donc une sorte de formatage dès lors que l’on touche à ces données. « La volonté du législateur est d’englober le maximum de cas d’application, c’est pourquoi le traitement des données concerne aussi bien des actions automatisées que manuelles », précise l’avocat. Plus concrètement, la rédaction d’un contrat de travail, la mise en place d’un processus de recrutement, l’échange d’informations financières avec son comptable, les administrations, mais aussi tout simplement un fichier constitué en vue de l’attribution d’une prime ou d’une médaille du travail est considéré comme un traitement de données et doit donc être traité en tant que tel ; et ce, que ces données soient traitées sous forme de fichier informatisé ou simplement sur un document papier.
Comment traiter les données ?
Une fois les données repérées, reste à les traiter dans les règles imposées par le RGPD. « Le principe est de traiter ces données de façon licite, loyale et transparente », explique Me Souyris. De ce fait, ces données doivent être uniquement collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités. Elles doivent être pertinentes, limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées, exactes et, si nécessaire, tenues à jour. De plus, elles seront conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées. « La Commission nationale informatique et liberté chargée de veiller à la bonne exécution du RGPD conseille par exemple une durée de conservation de 2 ans pour un CV, ou de 3 ans à partir du dernier contact pour les fichiers commerciaux », cite Me Souyris à titre d’exemple. Enfin, la CNIL impose de traiter ces données de façon à « garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées ».
Comment interagir avec la personne concernée par les données
« L’idée du RGPD est de laisser à la personne le droit de garder la maîtrise de ses données », résume l’avocat. Ce faisant, il est impératif de s’organiser pour informer le « propriétaire » des données de la façon dont on les conserve, des personnes à qui elles sont transmises, et du temps durant lequel l’entreprise les conserve. « Cette information peut faire l’objet d’une clause dans le contrat de travail ou d’un chapitre de la charte informatique de l’entreprise », précise Me Souyris. Chaque personne dispose par ailleurs du droit de demander une copie des données le concernant, d’un droit de rectification s’il repère une inexactitude et du droit à l’effacement de certaines données sous réserve bien évidemment du respect des obligations légales s’imposant à l’entreprise.
« Les manquements les plus fréquents concernent précisément ces règles liées à l’information des personnes et aux durées de conservation », alerte l’avocat.
Comment s’organiser ?
Les obligations étant posées, il faut que les entreprises s’organisent pour les respecter. Le bénéfice du doute est en leur faveur, puisque comme le précise l’avocat, « nous étions jusque-là dans une logique déclarative avec obligation de déclarer les traitements des données personnelles à la CNIL. Désormais, on sera dans une logique de responsabilisation, autrement dit l’entreprise devra être en mesure de prouver qu’elle respecte les règles en cas de contrôle ».
Dans les administrations et les entreprises traitant des données à risque concernant par exemple la santé ou la sécurité, le RGPD impose l’affectation d’un délégué à la protection des données qui se chargera des procédures de gestion des données, dont il assurera la conformité. Dans les petites entreprises, il est possible de nommer un salarié ou un prestataire extérieur.
De même dans les entreprises de plus de 250 salariés, il est désormais obligatoire d’avoir un registre des traitements des données. « Même s’il n’est pas obligatoire dans les PME, il est préférable de tenir un registre de traitement », conseille
Me Souyris. Ce document qui peut être relativement simple (voir encadré) permet en effet de cartographier ses actions et surtout de bien identifier leur finalité et les données qui y sont associées.
Ainsi, il suffit de répertorier dans ce registre les types de traitement de données personnelles, les catégories de données personnelles, les acteurs en contact avec ces données. Pour chaque donnée, il convient d’indiquer pourquoi vous les avez recueillies (le but étant de ne pas avoir plus de données que nécessaire), leur lieu de stockage et leur durée de conservation. Une fois ce registre établi, il sera plus facile d’identifier les éventuelles anomalies et les actions à conduire pour se mettre en conformité avec le RGPD.
Les points de vigilance
Pour conserver en permanence un haut niveau de protection des données, il sera certainement nécessaire dans la plupart des organisations de mettre en place ou de revoir certains processus. Pas de panique pour autant, il s’agit surtout d’acquérir les « bons réflexes ». Par exemple, de limiter l’accès des salariés aux données des clients, afin que seuls les gestionnaires concernés puissent en disposer, ou de mettre en place un système informatique permettant d’effacer les archives d’anciens salariés, une fois passés les délais de conservation imposés par la loi.
« L’idée est de restreindre l’accès aux données aux seules personnes qui en ont véritablement besoin pour prendre en charge leur mission au sein de l’entreprise », préconise Me Souyris.
C’est pourquoi certains intranets très ouverts devront être revus pour limiter les accès.
De même, il sera peut-être utile d’alléger le contenu de certains dossiers contenant des informations personnelles remises aux chefs de service ou aux chefs d’équipe.
Pour vous aider
La mise en conformité avec le RGPD va demander de nouvelles habitudes et surtout, elle va susciter de nombreuses interrogations. C’est pourquoi les chambres de commerce et d’industrie et les chambres des métiers, mais aussi les syndicats patronaux et encore les organisations professionnelles ont mis en place de nombreuses réunions d’information sur le RGPD, voire des sessions de formation.
Par ailleurs, experts-comptables et avocats sont eux aussi à pied d’œuvre pour accompagner leurs clients dans la mise en œuvre de ce nouveau document. Enfin, BPI France et la CNIL ont également édité des guides disponibles en ligne.
Les étapes à suivre pour se mettre au diapason du RGPD (source CNIL)
QUI ?
Inscrivez dans le registre le nom et les coordonnées du responsable du traitement (et de son représentant légal) et, le cas échéant, du délégué à la protection des données.
Identifiez les responsables des services opérationnels traitant les données au sein de votre organisme.
Établissez la liste des sous-traitants.
QUOI ?
Identifiez les catégories de données traitées.
Identifiez les données susceptibles de soulever des risques en raison de leur sensibilité particulière (par exemple, les données relatives à la santé ou aux infractions).
POURQUOI ?
Indiquez la ou les finalités pour lesquelles vous collectez ou traitez ces données (exemples : gestion de la relation commerciale, gestion RH).
OÙ ?
Déterminez le lieu où les données sont hébergées.
Indiquez dans quels pays les données sont éventuellement transférées.
JUSQU’À QUAND ?
Indiquez, pour chaque catégorie de données, combien de temps vous les conservez.
COMMENT ?
Quelles mesures de sécurité sont mises en œuvre pour minimiser les risques d’accès non autorisés aux données et donc d’impact sur la vie privée des personnes concernées ?
Texte : Françoise Sigot