RGPD : comment se mettre en conformité ?

Au sommaire :

• Le règlement européen sur la protection des données (RGPD) est entré en vigueur le 25 mai dernier. Ce texte renforce les droits des personnes « fichées », mais introduit également une plus grande responsabilité des entreprises sur les conditions de recuei
• Domaine d’application de la réforme
• Recenser l’existant…
• … pour identifier les actions à mener
• Respecter les droits des personnes fichées

… pour identifier les actions à mener

Responsables des fichiers de données personnelles qu’elles détiennent, les entreprises doivent gérer les traitements de ces données de façon raisonnée.

Le principe du RGPD consiste à responsabiliser les détenteurs de fichiers. Il vous revient donc, en tant que chef d’entreprise, d’adopter une approche raisonnée de ces traitements et de leur gestion. Sachant que les données personnelles ne doivent pas être conservées au-delà de ce qui est nécessaire. Pour chacun des traitements mis en œuvre dans votre entreprise, vous devez donc vous poser les questions suivantes :

Mon entreprise a-t-elle besoin de ces informations ?

Il est possible que vous ayez créé des fichiers il y a quelques années dans un objectif qui n’est plus d’actualité (liste de prospects pour le lancement d’une activité abandonnée...). Si c’est le cas, vous n’avez plus besoin de ces traitements. Supprimez-les.

Vous devez également vérifier que chaque type d’information recueilli pour le traitement est absolument nécessaire (par exemple, est-il pertinent de connaître le nombre d’enfants de chaque salarié si aucun avantage salarial n’est attaché à cette information ?). Si ce n’est pas le cas, supprimez les types de données non pertinents.

Enfin, vous devez faire en sorte que vos fichiers soient mis à jour régulièrement. Autrement dit, que les données qui n’ont plus rien à y faire soient supprimées : données relatives à d’anciens clients dans une base clients, informations dont la durée de conservation est dépassée…

Qui accède à ces données ?

Seules les personnes habilitées doivent pouvoir accéder aux données personnelles. Vous devez donc veiller à les compartimenter (les mettre sous clé s’il s’agit d’informations papier, ou sur un espace à accès restreint lorsqu’elles sont numériques).

Ces informations sont-elles protégées ?

Vous êtes responsable des données personnelles que vous hébergez ou que vous faites héberger par un prestataire. Vous devez donc prendre les mesures nécessaires pour minimiser les risques d’atteinte à leur intégrité et à leur confidentialité. Ainsi, pour chaque traitement, il vous faut évaluer le niveau de sécurité existant (complexité des mots de passe, performance et mise à jour des antivirus, politique de chiffrement, sécurité des locaux, politique de sauvegarde…) et, le cas échéant, le rehausser.

Et attention, avant de lancer un traitement, lorsque les données traitées (ethniques, religieuses, génétiques…) ou l’objectif du traitement (notation des personnes, télésurveillance, traitement relatif à des personnes vulnérables…) sont dits « sensibles », il peut être nécessaire de respecter une démarche particulière (PIA : Privacy Impact Assessment). N’hésitez pas, dans ce cas, à vous rapprocher de la Cnil.

Attention : si, accidentellement ou de manière illicite, votre entreprise est victime d’une violation de données personnelles (données détruites, perdues ou divulguées) et que cette violation est susceptible de présenter un risque pour les droits des personnes concernées, vous devez le signaler à la Cnil dans les 72 heures.

Désigner un DPO

Lorsque la situation est complexe, la Cnil conseille de désigner un délégué à la protection des données (DPO), qui peut être un collaborateur ou un prestataire, et qui peut être mutualisé entre plusieurs entreprises. Le DPO est là pour conseiller le chef d’entreprise sur ses obligations légales en matière de protection des données, contrôler le respect de la réglementation, mais aussi coopérer avec la Cnil. Mais seuls les organismes qui opèrent des traitements à risques ont l’obligation d’en désigner un. Plus précisément, l’article 37 du RGPD impose la désignation d’un DPO lorsque :

- le traitement est effectué par une autorité publique ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle ;

- les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées ;

- les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données visées à l’article 9 et de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10 du RGPD.

Publié le vendredi 01 juin 2018 - © Copyright Les Echos Publishing - 2017