Le règlement général sur la protection des données (RGPD) ou (GDPR) pour « General data protection regulation » en anglais est le nouveau cadre européen concernant le traitement et la circulation des données à caractère personnelle. Ce règlement européen sur la protection des données personnelles (RGPD) est entré en vigueur le 25 mai 2018. Ce texte précise que la protection des données personnelles nécessite de prendre des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque. L’article 34 de la loi liberté informatique n° 78-17 du 6 janvier 1978 imposait déjà cette obligation. Le RGPD ne crée donc pas une nouvelle règle, mais il alourdit les sanctions en cas de non-respect. Le responsable du traitement des données personnelles qui n'aura pas pris les mesures nécessaires pour en garantir la sécurité sera passible d'une amende pouvant aller jusqu'à 10 M€, voire jusqu'à 2 % de son chiffre d'affaires annuel mondial.
Qu’est-ce qu’une donnée personnelle ?
Une donnée personnelle (ou à caractère personnel) est une information qui permet d’identifier une personne physique, directement ou indirectement. Il peut s’agir d’un nom, prénom, d’une photographie, d’une adresse mail, d’un numéro de téléphone, numéro de sécurité sociale, …. Cela peut aussi être les données digitales ou traces laissées : adresse IP, identifiant de connexion informatique, mots de passe, coordonnées GPS, etc.
Le RGPD concerne aussi bien les données brute (la masse collectée) que les analyses qui en sont tirées, et ce que la collecte ou le traitement soit manuel ou automatisé. Cela inclus les données de la clientèle mais aussi celle des salariés. La liste des salariés d’une entreprise est considérée comme un fichier de données personnelles.
Concrètement, cela veut dire que des tas d’acte courants comme remplir un formulaire de contact sur un site et cocher une case pour autoriser l’entreprise à contacter la personne, etc. sont concernés par ce dispositif.
Se préparer en 6 étapes
Les professionnels peuvent d’ores et déjà s’appuyer sur de nombreux outils de préparation et de mise en conformité au RGPD, disponibles sur le site internet de la CNIL.
La Cnil propose une méthode en 6 étapes pour mettre en œuvre l’essentiel des mesures nécessaires pour être prêts en mai 2018.
- Désignez un pilote (un salarié ou le chef d'entreprise lui-même), qui exercera une mission d’information, de conseil et de contrôle en interne du respect de la réglementation. Ce délégué à la protection des données doit aussi coopérer avec l’autorité de contrôle, réaliser l'inventaire des traitements de données et concevoir des actions de sensibilisation. Sa désignation n’est pas obligatoire dans les TPE-PME.
- Cartographiez le traitement des données (de la clientèle mais aussi de vos salariés). Cela implique de bien recenser les données personnelles que vous collectez dans l’entreprise. Il faut détenir une documentation interne complète sur le traitement de ces données personnelles.
- Prioriser les actions. Assurez-vous que seules les données strictement nécessaires à la poursuite de vos objectifs sont collectées et traitées. La collecte doit être fondée sur une base juridique (contrat, obligation légale, intérêt légitime,…). Révisez vos mentions d'informations afin qu’elles soient conformes aux exigences du règlement (articles 12, 13 et 14). Il faut également prévoir les modalités d'exercice des droits des personnes concernées (droit d’accès, de rectification, retrait du consentement, etc.), et vérifier les mesures de sécurité mises en place.
- Gérer les risques. Si vous avez identifié des risques élevés pour les droits et libertés des personnes concernées, il faut mener une étude d’impact sur la protection des données (PIA).
- Organiser les processus interne. Cela implique de prendre en compte la protection des données dès la conception d’une application ou d'un traitement (minimisation de la collecte de données au regard de la finalité, durées de conservation, mention d’information, recueil du consentement etc.). Sensibiliser et organiser la remontée d’information en construisant un plan de formation et de communication auprès des collaborateurs de l’entreprise. Traiter les réclamations et les demandes des personnes concernées quant à l’exercice de leurs droits (droit d’accès, de rectification, droit à la portabilité, retrait du consentement) en définissant les acteurs et les modalités (l’exercice des droits doit pouvoir se faire par voie électronique, si les données ont été collectées par ce moyen).
- Documenter votre conformité au REPD en constituant et regroupant la documentation nécessaire sur vos traitements de données personnelles.
Publié par Pascale CARBILLET