Dans le cadre de votre activité professionnelle, vous êtes amenés à collecter des données personnelles, comme par exemple : les coordonnées postales de vos clients, leurs numéros de téléphone, les coordonnées de vos salariés …
QU’EST-CE QU’UNE DONNEE PERSONNELLE ?
Il s’agit de toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée») ; est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale;
QU’EST-CE QUE LE RGPD ?
Les entreprises ont déjà l’obligation de respecter un certain nombre d’obligations concernant la protection des données personnelles, dans le cadre de la Loi Informatique et Libertés du 6 janvier 1978.
Le Règlement Général pour la Protection des Données (RGPD) est une nouvelle règlementation européenne qui vise à réformer et renforcer la protection des données personnelles. Il s’agit d’un règlement adopté par le Parlement européen qui sera applicable à partir du 25 mai 2018 dans tous les pays de l’Union Européenne. A cette date, toutes les entreprises devront être en conformité avec le RGPD sous peine de sanctions.
VOTRE ENTREPRISE EST-ELLE CONCERNEE PAR LE RGPD ?
Oui, tous les professionnels sont concernés, quel que soit leur domaine d’activité et quel que soit la taille de leur entreprise dès lors que celle-ci est située dans un pays de l’Union Européenne (UE). Sont aussi concernées les entreprises situées hors de l’UE mais disposant de clients au sein de l’UE.
Prochainement, la CNIL proposera une information adaptée aux petites et moyennes entreprises, que nous ne manquerons pas de vous communiquer.
QUELS SONT LES OBJECTIFS DU RGPD ?
Ce règlement vise à créer un cadre harmonisé au niveau européen de la protection des données en renforçant les droits des personnes. Ainsi, cette règlementation instaure notamment une consolidation des obligations d’information, des restrictions en termes de recueil de consentement, un nouveau droit à la portabilité des données et à l’effacement, la création de dispositions propres aux personnes mineures,…
EN PRATIQUE
Cette nouvelle réglementation implique que chaque entreprise revoit sa politique de protection des données en veillant à ce que les données collectées soient désormais bien conforme à la réglementation.
Les fichiers de données à caractère personnel déjà existants au 25 mai 2018 devront, d’ici là, être mis en conformité avec les dispositions du règlement. Cela signifie qu’il va falloir vérifier chaque traitement de données que vous opérez au sein de votre entreprise : collecte des données de vos salariés, de vos clients, de vos fournisseurs, de vos partenaires commerciaux, …
D’importantes sanctions peuvent être prononcées par la CNIL en cas de non-respect des dispositions du règlement (mise en demeure de l’entreprise, suspension des flux de données, ordre de rectifier, limiter ou effacer les données, amende…).
La CNIL peut notamment :
- Prononcer un avertissement ;
- Mettre en demeure l’entreprise ;
- Limiter temporairement ou définitivement un traitement ;
- Suspendre les flux de données ;
- Ordonner de satisfaire aux demandes d’exercice des droits des personnes ;
- Ordonner la rectification, la limitation ou l’effacement des données.
S’agissant des amendes administratives, elles peuvent s’élever, selon la catégorie de l’infraction, de 10 ou 20 millions d’euros, ou, dans le cas d’une entreprise, de 2% jusqu’à 4% du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu. Ces sanctions sont applicables quelle que soit la taille de l’entreprise.
Des informations complémentaires sont disponibles sur le site Internet CNIL.fr, onglet « Règlement européen ».
COMMENT SE METTRE EN CONFORMITE AVEC LE RGPD POUR LE 25 MAI 2018 ?
Source Site Internet CNIL : les étapes ci-dessous reprennent le mode d’emploi de la CNIL que vous retrouverez en version détaillée en PDF ci-joint.
La CNIL a mis en ligne un mode d’emploi pour permettre aux entreprises de se mettre en conformité. Retrouvez ci-dessous les 6 étapes élaborées par la CNIL pour vous mettre en conformité.
Etape 1 : Désigner un pilote, le Délégué à la Protection des Données
Pour piloter la gouvernance des données personnelles de votre structure, vous aurez besoin d’un véritable chef d’orchestre qui exercera une mission d’information, de conseil et de contrôle en interne : le délégué à la protection des données.
Son rôle : Informer, conseiller, sensibiliser l’entreprise et contrôler en interne que l’entreprise respecte ses obligations en matière de protection des données personnelles. C’est également le DPO qui communique avec la CNIL et répond à ses demandes en cas de contrôle de l’entreprise.
- Cette étape n’est pas une obligation lorsque l’entreprise n’a pas une activité de base l’amenant à réaliser un suivi régulier et systématique des personnes à grande échelle ou à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions.
- Les professionnels de l’automobile, TPE ou PME ne sont à priori pas concernés par cette obligation. Il peut cependant être utile qu’au sein de votre entreprise une personne soit désignée pour piloter la mise en place et le suivi de l’ensemble de ces obligations.
Etape 2 : recenser de façon précise les traitements de données personnelles que vous mettez en œuvre au sein de votre entreprise (= cartographier)
Les entreprises ont désormais l’obligation de tenir une documentation interne complète sur leurs traitements de données personnelles et doivent s’assurer que ces traitements respectent bien les nouvelles obligations légales.
Les traitements correspondent à tout processus de collecte, de stockage, d’utilisation, de partage ou encore de destruction des données au sein de votre entreprise.
Pour créer cette documentation interne, vous devez recenser concrètement:
- Les différents traitements de données personnelles
Ex : données personnelles relatives aux salariés pour les fiches de salaire
Ex : données personnelles des clients pour la vente de véhicules
Ex : données personnelles des clients pour l’entretien de leur véhicule
Ex : données personnelles des clients d’une école de conduite
- Les catégories de données personnelles traitées: pour chacun des traitements de données personnelles de l’entreprise (ci-dessus), vous devez détailler les catégories de données récoltées.
Ex : nom du client, adresse complète, adresse mail, téléphone, …
Attention : si vous récoltez des données sensibles (données relatives à la santé ou aux infractions) vous devez également l’indiquer. Cependant, les professionnels de l’automobile n’ont a priori pas besoin de collecter ce type de données et nous vous le déconseillons, sauf à pouvoir en justifier des motifs, en cas de contrôle de la CNIL.
- La finalité de cette collecte (pourquoi vous collectez ces données) : chaque traitement de données doit avoir une finalité précise.
Ex : pour les données personnelles relatives aux salariés > finalité > gestion des ressources humaines
Ex : pour les données personnelles relatives aux clients > finalité > gestion commerciale
- Le lieu où ces données sont hébergées: les données sont-elles hébergées au sein de l’entreprise ? sont-elles transmises à un sous-traitant gestionnaire de ces données ? sont-elles transférées à un pays tiers ? Indiquez précisément ces informations.
- Pour chaque catégorie de données, combien de temps vous les conservez.
- Les mesures de sécurité mises en œuvre par votre entreprise pour minimiser les risques d’accès non autorisés aux données et donc d’impact sur la vie privée des personnes concernées.
La CNIL propose un modèle de registre sous format Excel[1]. Ce modèle vous permettra de recenser dans un document l’ensemble des informations décrites ci-dessus. Retrouvez ce registre en annexe.
Attention : les informations à tenir dans ce registre sont propres à chaque entreprise. Vous devez par conséquent au préalable réfléchir en interne sur l’ensemble des traitements de données personnelles que vous avez mis en œuvre.
Etapes 3 : identifier les actions à mener pour vous conformer aux obligations actuelles et à venir
Le registre que vous avez créé vous a permis d’avoir une vision d’ensemble sur la collecte des données personnelles réalisée par votre entreprise. Vous devez maintenant rectifier certaines collectes pour les rendre conformes au RGPD.
- Vous ne devez collecter que les seules les données strictement nécessaires à la poursuite de vos objectifs.
Ex : pour une vente de véhicule, vous ne devez collecter que les informations strictement nécessaires à la finalisation de la vente : collecter des données concernant l’état de santé du client est inutile.
- Actualisez vos mentions d’information afin qu’elles soient conformes aux exigences du règlement.
- Prévoyez vos process internes pour permettre les modalités d’exercice des droits des personnes concernées (droit d’accès, de rectification, droit à la portabilité, retrait du consentement…) : qui réceptionne ces demandes en interne, comment mettez-vous en œuvre la demande, comment informez-vous la personne à l’origine de la demande, etc. …
- Vérifiez les mesures de sécurité mises en place en interne en cas d’atteinte aux données personnelles (ex : attaque informatique, vol de données personnelles, …)
Etapes 4 : Gérer les risques
Lorsqu’un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement effectue, avant le traitement, une analyse de l’impact des opérations de traitement envisagées sur la protection des données à caractère personnel.
Cette étape n’est nécessaire que si votre entreprise collecte des données présentant un risque élevé pour les droits et libertés des personnes concernées.
Il existe 9 critères permettant de définir un risque élevé pour les droits et libertés des personnes concernées:
- Evaluation ou notation;
- Décision automatisée avec effet juridique ou effet similaire significatif;
- Surveillance systématique ;
- Données sensibles ou données à caractère hautement personnel ;
- Données personnelles traitées à grande échelle ;
- Croisement d’ensembles de données ;
- Données concernant des personnes vulnérables ;
- Usage innovant ou application de nouvelles solutions technologiques ou organisationnelles ;
- Exclusion du bénéfice d’un droit, d’un service ou contrat.
A priori, ce n’est pas le cas des professionnels de l’automobile. Nous vous invitons cependant à vérifier en interne si vous êtes concerné. Si tel est le cas, vous devrez mener en interne une analyse d’impact sur la protection des données (PIA).
Etapes 5 : mettre en place des procédures internes qui garantissent la protection des données à tout moment
Quels sont les procédures internes à mettre en place pour se conformer au règlement ? Vous allez devoir :
- prendre en compte de la protection des données personnelles dès la conception d’une application ou d’un traitement de données :
> Minimiser la collecte de données au regard de la finalité,
> Cookies,
> Durée de conservation,
> Mentions d’information,
> Recueil du consentement
> Sécurité et confidentialité des données
> S’assurer du rôle et de la responsabilité des services de l’entreprise et/ou des sous-traitants impliqués dans la mise en œuvre de traitements de données
– sensibiliser les collaborateurs en interne
– traiter les réclamations et les demandes de vos clients quant à l’exercice de leurs droits (droits d’accès, de rectification, d’opposition, droit à la portabilité, retrait du consentement) en définissant les acteurs en interne et les modalités (l’exercice des droits doit pouvoir se faire par voie électronique, si les données ont été collectées par ce moyen).
– anticiper les violations de données en prévoyant, dans certains cas, la notification à la CNIL dans les 72 heures et aux personnes concernées (par exemple vos clients et/ ou vos salariés) dans les meilleurs délais.
Etapes 6 : Documenter la conformité de votre entreprise au RGPD
Vous devez conserver au sein de votre entreprise l’ensemble de la documentation prouvant que vous vous êtes mis en conformité avec le RGPD.
Nous vous conseillons de constituer un dossier numérique ou papier comprenant :
- Votre registre des traitements (fichier Excel détaillé à l’Etape 2)
- Les mentions d’information à destination de vos clients (Etape 3)
- Les modèles de recueil du consentement des personnes concernées (Etape 3)
- Les procédures mises en place en interne pour l’exercice des droits de vos clients (Etape 3)
- Les contrats avec les sous-traitants
- Les procédures internes en cas de violations de données (Etape 3)
- Les preuves que les personnes concernées ont donné leur consentement lorsque le traitement de leurs données repose sur cette base.
Ce dossier doit être régulièrement mis à jour : soit l’occasion d’une modification dans le traitement de vos données, soit en cas d’ajout d’un nouveau traitement, soit au minimum une fois par an pour vérification.
Ce dossier sera mis à disposition de l’autorité de contrôle (CNIL) en cas de vérification au sein de votre entreprise.
Attention : Alerte Arnaque
La CNIL a alerté les professionnels que de nombreux artisans, PME et commerçants reçoivent actuellement des sollicitations par téléphone pour une « mise en conformité » de leur entreprise au RGPD. Des sociétés peu scrupuleuses cherchent à vendre une prestation « clé en main » qui garantirait à l’entreprise ciblée sa conformité au RGPD.
Leur technique : insister sur les sanctions financières encourues ET se présenter comme «labellisé», «mandaté» ou «recommandé» par la CNIL.
Ces messages peuvent avoir pour but de faire appeler un numéro surtaxé, de faire signer un engagement frauduleux ou de collecter des informations sur l’organisation de l’entreprise pour préparer une escroquerie ou une attaque informatique
La CNIL conseille de ne surtout pas répondre à ces messages. Elle précise qu’elle n’est pas à l’origine de telles démarches auprès des entreprises. En cas de doute, vous pouvez contacter la CNIL au 01 53 73 22 22.
|
Annexes à la présente note :
- Guide CNIL « Règlement européen : se préparer en 6 étapes », véritable mode d’emploi du RGPD
- Guide CNIL « Sécurité des données personnelles » comportant les précautions élémentaires à mettre en œuvre pour se conformer au règlement européen
- Tableau Excel permettant de créer votre Registre des traitements de données personnelles (proposé par la CNIL)
[1] Cela est lié au principe d’accountability qui fait que l’entreprise doit garantir, à tout moment, que les process en place sont conformes, sécurisés et garantissent la confidentialité des données. Il répond ainsi à un double enjeu de traçabilité et de transparence, essentiels à la confiance.