À compter du 25 mai 2018, les règles relatives à la protection des données personnelles sont modifiées en raison de la mise en œuvre effective d’un règlement européen du 27 avril 2016, dit « RGPD ».
Les employeurs sont largement impactés dans la mesure où ils recueillent des données personnelles de leurs salariés, et de nouvelles obligations s’imposent à eux.
Quelles données sont concernées par le RGDP ?
Les données concernées par le règlement européen sont tous les fichiers comportant des données personnelles, c’est-à-dire les noms, prénoms, photos ou vidéos de personnes, données biométriques, etc.
En pratique, les employeurs recueillent un grand nombre de données personnelles : curriculum vitae, lettre de motivation, numéro de sécurité sociale, bulletins de paie, registre unique du personnel, organigramme, décompte du temps de travail, système de vidéosurveillance, etc.
Que change le RGDP ?
Pour l’essentiel, les principes généraux entourant le traitement des données personnelles ne changent pas (justification du traitement et des données collectées, durée de conservation, sécurité et confidentialité des données, respect des droits des personnes).
Avant le RGPD, sauf dispense, l’ensemble des traitements de données personnelles devait être déclaré à la Cnil.
À compter du 25 mai 2018, ces déclarations systématiques sont supprimées mais, en contrepartie, les employeurs doivent pouvoir démontrer qu’ils respectent les règles.
À cet effet, ils doivent faire un audit de tous les traitements… Par ailleurs, un certain nombre d’actions deviennent nécessaires, notamment la mise à jour des informations délivrées aux salariés concernant le traitement de leurs données et la révision des contrats conclus avec les sous-traitants.
Qui est concerné par le RGDP ?
Tout organisme, quelle que soit sa taille, son pays d’implantation et son activité, peut être concerné.
Le RGDP s’applique à toute organisation, publique ou privée, qui traite des données personnelles pour son compte ou non, dès lors :
- Qu’elle est établie dans l’Union Européenne,
- Que son activité cible directement des résidents européens.
Ex : une association qui collecte des données personnelles via des fichiers d’inscription, un coach sportif ayant une base de données clients, une société qui exporte l’ensemble de ses produits en dehors de l’Union Européenne,… sont soumis au RGDP !
Le RGDP concerne également les sous-traitants qui traitent les données personnelles pour le compte d’autres organismes.
Que faire pour être conforme au RGDP ?
ETAPE 1 : Désigner un Pilote
La désignation d’un délégué à la protection des données (DPO) est obligatoire si :
- Vous êtes un organisme public,
- Vous êtes une entreprise dont l’activité de base vous amène à réaliser un suivi régulier et systématique des personnes à grande échelle, ou à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infraction.
Est chargé :
- d’informer et de conseiller le responsable de traitement ou le sous-traitant, ainsi que leurs employés ;
- de contrôler le respect du règlement et du droit national en matière de protection des données ;
- de conseiller l’organisme sur la réalisation d’études d’impact sur la protection des données et d’en vérifier l’exécution ;
- de coopérer avec l’autorité de contrôle et d’être le point de contact de celle-ci.
ETAPE 2 : Cartographier
Recenser précisément :
- Les différents traitements de données personnelles,
- Les catégories de données personnelles traitées ;
- Les objectifs poursuivis par les opérations de traitements de données ;
- Les acteurs (internes ou externes) qui traitent ces données. Vous devez notamment clairement identifier les prestataires sous-traitants afin d’actualiser les clauses de confidentialité ;
- Les flux en indiquant l’origine et la destination des données, afin notamment d’identifier les éventuels transferts de données hors de l’Union européenne.
ETAPE 3 : Prioriser
Après avoir identifié les traitements de données personnelles mis en œuvre au sein de votre organisme, vous devez, pour chacun d’eux, identifier les actions à mener pour vous conformer aux obligations actuelles et à venir.
Cette priorisation peut être menée au regard des risques que font peser vos traitements sur les libertés des personnes concernées. Certaines tâches sont faciles à mettre en œuvre et vous permettent de progresser rapidement.
ETAPE 4 : Gérer les risques
Si vous avez identifié des traitements de données personnelles susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes concernées, vous devez mener, pour chacun de ces traitements, une analyse d’impact sur la protection des données
C’est une étude aidant à construire des traitements de données respectueux de la vie privée et permettant de démontrer la conformité de son traitement au RGPD. Un PIA est un outil d’évaluation d’impact sur la vie privée.
ETAPE 5 : Organiser
Mettez en place des procédures internes qui garantissent la protection des données à tout moment :
- Prendre en compte la protection des données personnelles dès la conception d’une application ou d’un traitement,
- Sensibiliser et organiser la remontée d’information en construisant notamment un plan de formation et de communication auprès de vos collaborateurs,
- Traiter les réclamations et les demandes des personnes concernées quand à l’exercice de leurs droits (droits d’accès, de rectification, d’opposition, droit à la portabilité, retrait du consentement) en définissant les acteurs et les modalités (l’exercice des droits doit pouvoir se faire par voie électronique, si les données ont été collectées par ce moyen),
- Anticiper les violations de données en prévoyant, dans certains cas, la notification à l’autorité de protection des données dans les 72 heures et aux personnes concernées dans les meilleurs délais.
ETAPE 6 : Documenter
Pour prouver votre conformité au règlement, vous devez constituer et regrouper la documentation nécessaire. Les actions et documents réalisés à chaque étape doivent être réexaminés et actualisés régulièrement pour assurer une protection des données en continu.
Quelles sont les sanctions ?
La Cnil, titulaire d’un pouvoir d’enquête et de sanction, peut appliquer des sanctions pouvant aller :
- d’un rappel à l’ordre à l’application,
- d’une amende administrative de 20 millions d’euros, ou
- de 4 % du chiffre d’affaire mondial de la société.
En outre, le non-respect des règles relatives à la protection des données personnelles est pénalement sanctionné de 5 ans de prison et de 300 000 € d’amende.
En tant qu’employeur, vous collectez et traitez un grand nombre de données personnelles.
L’entrée en vigueur du RGPD nécessite de mettre en œuvre des actions particulières.
Votre expert-comptable peut vous accompagner.
Contactez-le pour un diagnostic personnalisé !
L’ « Alerte Vigilance » de la CNIL dénonce les agissements de sociétés peu scrupuleuses proposant une mise en conformité « clé en main » au RGPD.
Leur technique : insister sur les sanctions financières encourues, se présenter comme « labellisées », « certifiées » ou « recommandées » par la CNIL.
La CNIL appelle une nouvelle fois à la vigilance et rappelle que de tels démarchages ne se font pas à son initiative ou avec son soutien.
Pour vous aider dans votre mise en conformité au RGPD, la CNIL publie des contenus pratiques. Vous pouvez notamment consulter « RGPD : ce qui change pour les pros » ainsi que le nouveau « Guide de sensibilisation pour les petites et moyennes entreprises ».