Conformité au RGPD : êtes vous prêts ?

Dans deux mois, jour pour jour, entrera en vigueur le Règlement européen sur la protection des données, dit RGPD.

Nouvelle règlementation générale européenne sur la protection des données

Ne vous affolez pas ! Il est estimé que 87% des structures devant s’y conformer (sociétés, associations, structures privées assurant une mission de service public, communautés de commune, prestataires divers…) ne seront pas conformes au 25 mai prochain.

Il n’en demeure pas moins que des obligations pèsent sur vous, vous qui êtes amenés à traiter des données à caractère personnel.

Au 25 mai, vous devrez au moins être capables de justifier, si besoin, avoir commencé des démarches pratiques, signes de votre prise de conscience de responsabilisation qu’impose dorénavant le RGPD.

De quelles données s’agit-il ?

Il s’agit de toute information qui se rapporte à une personne physique, qu’elle soit identifiée ou simplement identifiable même indirectement (via identité, coordonnées, adresse IP, pseudonyme, numéro de compte bancaire, photographie…).

Ce qui exclut les données relatives à une personne morale y compris nom, forme juridique ou coordonnées.

Sont donc concernées les données à caractère personnel de vos clients – personnes physiques -, de vos employés, des stagiaires que vous accueillez, rémunérés ou non, etc.

Qui sera responsable du RGPD au sein de votre structure ?

Un responsable de traitement (RT) doit être désigné : il s’agit de toute personne physique ou morale qui détermine et contrôle les finalités du traitement des données.
Le RT devra être autonome et n’être soumis à aucun lien de subordination.

De quel traitement des données s’agit-il ?

Il s’agit de toute opération portant sur des données quel que soit le mode utilisé (automatisé ou non, via un data ou un simple document papier).

Le traitement suppose qu’au préalable vous vous soyez interrogés sur la finalité pour laquelle vous récoltez telle ou telle donnée.

Le RGPD vient donc renforcer le droit de tout un chacun de voir utiliser ses données à caractère personnel dans un cadre précis.

C’est ainsi que six principes encadrent le recueil des données à caractère personnel :

Sécurité du traitement
Offrir lors du traitement un niveau de sécurité adéquat.

Transparence
Données traitées de manière loyale et transparente en communiquant aux personnes concernées une information sur le traitement (et non pas un consentement à recevoir).

Limitation des finalités
Les données doivent être collectées dans une finalité précise et ne pourront pas être utilisées pour une autre finalité.

Limitation de leur conservation
Au regard des finalités pour lesquelles elles sont traitées.

Confidentialité
Limitation d’accès de certaines données personnelles vis-à-vis du personnel.

Licéité
Pour être licite, la collecte, l’utilisation, la consultation des données personnelles ne seront possibles que dans l’un des 6 cas suivants :

– Il a donné lieu à un accord de la personne concernée : ce sera là son consentement qui sera demandé et qui devra être écrit (donc différent de l’utilisation de ses données dans le cadre d’une mission laquelle nécessite seulement son information) ;

– Il a été nécessaire à l’exécution d’un contrat ;

– Il a été nécessaire au respect d’une obligation d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique ;

– Il a été nécessaire à la sauvegarde des intérêts vitaux de la personne concernée (hors contexte médical) ;

– Il a été nécessaire au respect d’une obligation légale auquel le RT est soumis (ex : transmission à l’administration des rémunérations des salariés) ;

– Il a été nécessaire aux fins d’intérêts légitimes poursuivis par le RT sauf contradiction avec les intérêts fondamentaux de la personne concernée.

Que mettre en place pour entamer la mise en conformité au RGPD de votre structure ?

Nommer le RT

Désigner un pilote
Le RGPD consacre l’arrivée d’un nouvel acteur « Data Protector Officer » ou Délégué à la Protection des Données (DPO) qui est obligatoire dans certaines hypothèses. En dehors de ces cas, vous désignerez un responsable de projet nommé à la protection des données.

Cartographier les traitements de données à caractère personnel en tenant des registres des traitements (qui seront à présenter dans les 72h à la CNIL en cas de contrôle). Ces registres seront tenus par le pilote qui devra les mettre à jour régulièrement et devront contenir les informations suivantes : un titre, le type des personnes concernées, la finalité du traitement, la nature/catégorie des données traitées, les acteurs internes et externes traitant ces données, la localisation de ces données, leur temps de conservation et le volume qu’elles représentent.

Réaliser une étude d’impact relative à la protection des données « lorsqu’un type de traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques ».

 

Quelques exemples d’actions à mener

Sensibiliser vos équipes au RGPD et faire des tests internes ;

Définir des process d’information auprès de vos clients ;

Définir des process de recueil de consentement quand celui-ci est requis (comme en matière de prospection) ;

Vérifier auprès de vos prestataires (juridiques, logistiques,…) qu’ils sont eux-mêmes conformes, le sous-traitant pouvant être co-responsable avec le RT dans une certaine mesure ;

Etablir une charte informatique interne ;

• …

Malgré tout ce formalisme qui pourrait paraître contraignant et fastidieux, avec des sanctions qui s’alourdissent (du simple rappel à une amende de 4% du CA annuel mondial en passant par de possibles actions pénales), la mise en conformité au RGPD (une norme ISO est d’ailleurs en cours d’élaboration) doit être perçue avant tout comme un gage de sérieux en interne comme en externe.

Et même si le texte laisse place à certaines incertitudes, avec la dématérialisation croissante des modes de travail, vous vous retrouvez face à de réels enjeux : la réputation de votre structure et la confiance qu’elle inspire.

Cécile HENON
Nous contacter

Partager l'article sur Facebook

Laisser un commentaire