24 mai 2018
RGPD : quels impacts pour les entreprises à partir du 25 mai 2018 ?
La particularité du règlement est d'être directement applicable à partir du 25 mai 2018 dans l'ensemble de l'Union européenne.
Les responsables de traitements doivent mettre en œuvre toutes les mesures techniques et organisationnelles nécessaires au respect de la protection des données personnelles, dès la conception du produit ou du service et de façon continue, c'est-à-dire être en mesure de démontrer la conformité de leurs traitements à tout moment.
La conséquence de cette responsabilisation des acteurs est la suppression des obligations déclaratives préalables.
La conséquence de cette responsabilisation des acteurs est la suppression des obligations déclaratives préalables.
Tout organisme, quels que soient sa taille, son pays d'implantation et son activité, peut être concerné. En effet, le RGPD s'applique à toute organisation, publique ou privée, qui traite des données personnelles pour son compte ou non, dès lors :
- qu'elle est établie sur le territoire de l'Union européenne ;
- que son activité cible directement des résidents européens.
On entend par donnée personnelle toute information permettant d'identifier directement (nom, prénom, par exemple) ou indirectement (numéro client, numéro de téléphone, numéro d'immatriculation pour la gestion d'un parking, donnée biométrique, etc.) une personne.
Un fichier ne contenant que des coordonnées d'entreprises (par exemple, entreprise « Compagnie A » avec son adresse postale, le numéro de téléphone de son standard et un email de contact générique « compagnieA@email.fr ») n'est pas un traitement de données personnelles.
Par ailleurs, un traitement de données personnelles n'est pas nécessairement informatisé : les fichiers papier sont également concernés et doivent également être protégés.
Par ailleurs, un traitement de données personnelles n'est pas nécessairement informatisé : les fichiers papier sont également concernés et doivent également être protégés.
Un traitement de données personnelles doit avoir un objectif, une finalité. Il n'est pas possible de collecter ou traiter des données personnelles simplement au cas où cela pourrait s'avérer utile un jour.
Le règlement repose sur les principes suivants. Les données à caractère personnel doivent être (RGPD art. 5.1) :
- traitées de manière licite, loyale et transparente au regard de la personne concernée ;
- collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d'une manière incompatible avec ces finalités ;
- adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données) ;
- exactes et tenues à jour ;
- conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ;
- traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d'origine accidentelle (intégrité et confidentialité).
Concrètement, les différentes actions à mener pour se conformer à ces principes sont les suivantes :
- désigner un pilote ;
- recenser les fichiers ;
- repérer les traitements à risque ;
- respecter le droit des personnes ;
- sécuriser les données ;
- s'assurer, en cas de sous-traitance, que le prestataire respecte le RGPD.
Le responsable des traitements devant désormais prouver à tout moment que les traitements qu'il gère sont conformes à la réglementation, le RGPD amène à s'interroger sur la pertinence des données collectées.
Pour chaque traitement, il conviendra de vérifier :
Pour chaque traitement, il conviendra de vérifier :
- les circonstances de collecte des données : y a-t-il eu consentement des personnes concernées ? Dans la négative, la collecte répond-elle à des obligations particulières (collecte nécessaire au contrat, respect d'une obligation légale, par exemple traitement de données relatives aux salariés pour les communiquer à la sécurité sociale ou l'administration fiscale…) ? ;
- l'information délivrée aux personnes faisant l'objet de la collecte et du traitement : celles-ci ont-elles été informées de la finalité du traitement et de leurs droits ? ;
- la nature des données collectées au regard de la finalité du traitement : seules les données strictement nécessaires au traitement peuvent être collectées et traitées ;
- que seules les personnes habilitées ont accès aux données dont elles ont besoin et que les données ne sont pas conservées au-delà de ce qui est nécessaire.
Certains traitements réclament une vigilance particulière. Il s'agit des traitements ayant pour objet ou pour effet :
1. L'évaluation d'aspects personnels ou la notation d'une personne ;
2. Une prise de décision automatisée ;
3. La surveillance systématique de personnes : télésurveillance, surveillance des réseaux sociaux des salariés, analyse des pages des réseaux sociaux des candidats à un emploi, outils de gestion du temps de présence (badge, par exemple), systèmes de géolocalisation ;
4. Le traitement de données sensibles. Sont concernées les données révélant l'origine prétendument raciale ou ethnique, portant sur les opinions politiques, philosophiques ou religieuses, relatives à l'appartenance syndicale, concernant la santé ou l'orientation sexuelle, les données génétiques ou biométriques, les données d'infraction ou de condamnation pénale ;
5. Le traitement de données concernant des personnes vulnérables (exemple : mineurs) ;
6. Le traitement à grande échelle de données personnelles ;
7. Le croisement d'ensembles de données ;
8. Des usages innovants ou l'application de nouvelles technologies (exemple : objet connecté) ;
9. L'exclusion du bénéfice d'un droit, d'un service ou contrat.
Si le traitement de données concerné répond à au moins 2 de ces 9 critères, une analyse d'impact sur la protection des données (PIA : Privacy Impact Assesment) doit être conduite. La Cnil a mis en place un logiciel facilitant la conduite et la formalisation d'analyses d'impact : https://www.cnil.fr/fr/outil-pia-telechargez-et-installez-le-logiciel-de-la-cnil.
1. L'évaluation d'aspects personnels ou la notation d'une personne ;
2. Une prise de décision automatisée ;
3. La surveillance systématique de personnes : télésurveillance, surveillance des réseaux sociaux des salariés, analyse des pages des réseaux sociaux des candidats à un emploi, outils de gestion du temps de présence (badge, par exemple), systèmes de géolocalisation ;
4. Le traitement de données sensibles. Sont concernées les données révélant l'origine prétendument raciale ou ethnique, portant sur les opinions politiques, philosophiques ou religieuses, relatives à l'appartenance syndicale, concernant la santé ou l'orientation sexuelle, les données génétiques ou biométriques, les données d'infraction ou de condamnation pénale ;
5. Le traitement de données concernant des personnes vulnérables (exemple : mineurs) ;
6. Le traitement à grande échelle de données personnelles ;
7. Le croisement d'ensembles de données ;
8. Des usages innovants ou l'application de nouvelles technologies (exemple : objet connecté) ;
9. L'exclusion du bénéfice d'un droit, d'un service ou contrat.
Si le traitement de données concerné répond à au moins 2 de ces 9 critères, une analyse d'impact sur la protection des données (PIA : Privacy Impact Assesment) doit être conduite. La Cnil a mis en place un logiciel facilitant la conduite et la formalisation d'analyses d'impact : https://www.cnil.fr/fr/outil-pia-telechargez-et-installez-le-logiciel-de-la-cnil.
Pour les salariés, quel que soit le support de collecte utilisé (formulaire, questionnaire, etc.), celui-ci doit comporter les informations suivantes (RGPD art. 13 et 14) :
- l'identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable du traitement ;
- le cas échéant, les coordonnées du délégué à la protection des données ;
- les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement ;
- les catégories de données à caractère personnel concernées ;
- le cas échéant, les destinataires ou les catégories de destinataires des données à caractère personnel (service interne à l'entreprise, prestataire..) ;
- la durée de conservation des données ;
- les modalités selon lesquelles les intéressés peuvent exercer leurs droits (via leur espace personnel sur le site internet de l'entreprise, par un message sur une adresse email dédiée, par un courrier postal à un service identifié…) ;
- en cas de transfert de données hors de l'Union européenne, l'indication du pays concerné, l'existence ou l'absence d'une décision d'adéquation rendue par la Commission européenne ou la référence aux garanties appropriées ou adaptées et les moyens d'en obtenir une copie ou l'endroit où elles ont été mises à disposition.
Ces informations doivent être données :
- dès la collecte des données dans le cas où celle-ci sont recueillies directement auprès du salarié (lors de l'embauche, par exemple) ;
- au maximum un mois après cette collecte si les données sont recueillies de façon indirecte, auprès d'une autre source.
Elles n'ont pas à être fournies si le salarié dispose déjà de ces informations.S'agissant plus particulièrement des relations de l'entreprise avec ses salariés, la Cnil préconise d'informer ces derniers à chaque fois qu'il leur est demandé des informations (exemples : mises à jour de données administratives, demande de formation, formulaire d'entretien d'évaluation, etc.). ou lors de la mise en place d'un dispositif de surveillance, selon des modalités à déterminer selon l'organisation de l'entreprise (note de service, avenant au contrat de travail, information sur l'Intranet, courrier joint au bulletin de paie, etc.).
Les salariés ont des droits sur leurs données, qui sont d'ailleurs renforcés par le RGPD : droit d'accès, de rectification, d'opposition, d'effacement (droit à l'oubli), droit à la portabilité et à la limitation du traitement.
Les moyens d'exercer effectivement leurs droits doivent être mis à leur disposition : formulaire de contact sur un site web, numéro de téléphone ou adresse de messagerie.
Les moyens d'exercer effectivement leurs droits doivent être mis à leur disposition : formulaire de contact sur un site web, numéro de téléphone ou adresse de messagerie.
Le droit à l'oubli est le droit d'une personne d'obtenir du responsable du traitement l'effacement, dans les meilleurs délais, de données à caractère personnel la concernant. Les motifs justifiant l'exercice de ce droit sont limitativement énumérés par l'article 17 du RGPD. De façon générale, le RGPD impose de procéder à la suppression des données dès lors qu'elles ne sont plus utiles au regard des finalités pour lesquelles elles ont été collectées. Il est recommandé, au-delà de la fixation de délais de suppression des données selon les fichiers, de prévoir des mécanismes de suppression automatique ou des alertes sur les outils utilisés pour la conservation des fichiers. En ce qui concerne plus particulièrement le recrutement, les informations sur les candidats non retenus doivent être supprimées sauf s'ils acceptent de rester dans le « vivier » de l'entreprise (durée de conservation limitée à 2 ans).
Le droit à limitation d'un traitement s'entend de la faculté pour une personne de demander à ce que le responsable du traitement ne puisse pas se servir de certaines données collectées.
Le droit à la portabilité constitue une nouveauté. Il s'agit du droit pour une personne d'obtenir, voire de réutiliser, les données la concernant pour ses besoins personnels. Trois conditions doivent être réunies :
Le droit à limitation d'un traitement s'entend de la faculté pour une personne de demander à ce que le responsable du traitement ne puisse pas se servir de certaines données collectées.
Le droit à la portabilité constitue une nouveauté. Il s'agit du droit pour une personne d'obtenir, voire de réutiliser, les données la concernant pour ses besoins personnels. Trois conditions doivent être réunies :
- les données personnelles ont été fournies par la personne elle-même ;
- les données sont traitées de manière automatisée, sur la base du consentement de l'intéressée ou pour l'exécution d'un contrat ;
- la portabilité ne doit pas porter atteinte aux droits et libertés de tiers.
Les mesures à prendre, informatiques ou physiques, dépendent de la sensibilité des données traitées et des risques qui pèsent sur les personnes en cas d'incident.
Différentes actions doivent être mises en place : mises à jour des antivirus et logiciels, changement régulier des mots de passe et utilisation de mots de passe complexes, ou chiffrement des données dans certaines situations.
L'entreprise victime d'une violation de données (des données personnelles ont été, de manière accidentelle ou illicite, détruites, perdues, altérées, divulguées ou il a été constaté un accès non autorisé à des données) doit le signaler à la Cnil dans les 72 heures si cette violation est susceptible de représenter un risque pour les droits et libertés des personnes concernées. Cette notification s'effectue en ligne sur le site internet de la Cnil.
Il faut aussi notifier à la ou les personnes concernées que leurs données ont été potentiellement mises en danger.
S'il n'est pas possible d'identifier précisément les personnes susceptibles d'être impactées par les failles de sécurité, il faut notifier au public ce qui peut s'avérer très grave en termes d'image.
Différentes actions doivent être mises en place : mises à jour des antivirus et logiciels, changement régulier des mots de passe et utilisation de mots de passe complexes, ou chiffrement des données dans certaines situations.
L'entreprise victime d'une violation de données (des données personnelles ont été, de manière accidentelle ou illicite, détruites, perdues, altérées, divulguées ou il a été constaté un accès non autorisé à des données) doit le signaler à la Cnil dans les 72 heures si cette violation est susceptible de représenter un risque pour les droits et libertés des personnes concernées. Cette notification s'effectue en ligne sur le site internet de la Cnil.
Il faut aussi notifier à la ou les personnes concernées que leurs données ont été potentiellement mises en danger.
S'il n'est pas possible d'identifier précisément les personnes susceptibles d'être impactées par les failles de sécurité, il faut notifier au public ce qui peut s'avérer très grave en termes d'image.
Les responsables de traitement et les sous-traitants peuvent faire l'objet de sanctions administratives importantes en cas de méconnaissance des dispositions du règlement : avertissement, mise en demeure, injonction de cesser le traitement, suspension des flux de données, etc.
Les amendes administratives peuvent s'élever, selon la catégorie de l'infraction, à 10 ou 20 millions d'euros, ou, dans le cas d'une entreprise, à 2 % jusqu'à 4 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu.
Les amendes administratives peuvent s'élever, selon la catégorie de l'infraction, à 10 ou 20 millions d'euros, ou, dans le cas d'une entreprise, à 2 % jusqu'à 4 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu.
Source: EFL
/https%3A%2F%2Fassets.over-blog.com%2Ft%2Fcedistic%2Fcamera.png)
/http%3A%2F%2Fstorage.canalblog.com%2F61%2F30%2F1161698%2F117612344_o.jpg)
/https%3A%2F%2Fstorage.canalblog.com%2F61%2F30%2F1161698%2F117612344_o.jpg)
Publicité
Publicité
Commentaires