Le règlement général sur la protection des données (RGPD) adopté par l’UE en 2016 est directement applicable depuis le 25 mai 2018.
Les maîtres mots pour une mise en conformité optimale en matière de protection des données: Anticipation, Etats des lieux, Identification, Organisation, Action et Suivi!
Le projet de loi définitivement adopté le 14 mai 2018 adapte le droit français au règlement européen.
Ce projet de loi a fait l’objet d’une saisine du Conseil constitutionnel le 16 mai 2018.
Le RGPD : une logique inversée
Le RGPD consacre une logique de responsabilisation des organismes mettant en œuvre des traitements tout en réduisant en apparence les formalités préalables. Désormais, le contrôle ne se fera plus en amont (déclarations/autorisations préalables de l’entreprise auprès de l’autorité) mais a posteriori. Pour autant, le champ de la protection des données est élargi. Ainsi, les responsables de traitements doivent mettre en œuvre toutes les mesures nécessaires au respect de la protection des données personnelles, dès la conception du produit ou du service, et de façon continue.
Un dispositif concernant au premier chef les entreprises
- En interne
Ce dispositif concerne les entreprises dans la mesure où elles peuvent détenir et utiliser des données personnelles de leurs salariés, de leurs prestataires, de leurs clients, de leurs fournisseurs , de leurs partenaires…
Les employeurs doivent désormais informer les personnes (au sens large) sur l’utilisation qui peut être faite de leurs données personnelles et sur leurs droits. Attention : Au-delà du service RH, d’autres salariés de l’entreprise sont concernés par cette règlementation puisqu’ils manipulent des données personnelles tels que les salariés du service clientèle, marketing, informatique... A l’égard de ces salariés, il conviendra donc de déployer une politique d’information, de responsabilisation et de prévention en la matière : formation, clauses particulières au sein de leur contrat de travail, charte relative à la protection des données personnelles, revue du règlement intérieur, revue de la charte informatique….
- En externe
Création d’une responsabilité conjointe avec les sous-traitants.
Il est essentiel de s’assurer que tous les prestataires de service de l’entreprise qui ont accès à des données personnelles ou qui gèrent ces données, ont pris les mesures nécessaires pour garantir la protection de celles-ci.
Dès lors, il est nécessaire que :
- Le prestataire s’engage à respecter la règlementation en la matière via par exemple l’insertion d’une clause spécifique dans le contrat de prestation de service
- Le donneur d’ordre s’assure par divers moyens que le prestataire respecte bien dans les faits son engagement (simple déclaration de principe, audits etc.).
De l’importance de s’emparer au plus tôt de ce sujet
- Des sanction plus lourdes
Le montant des sanctions est sensiblement relevé : jusqu’à 10 millions d’euros ou 2% du CA annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu (et pour les manquements les plus graves, jusqu’à 20 millions d’euros et 4% dudit CA).
- Une action de groupe en matière d’atteinte aux données personnelles
Visant auparavant exclusivement à la cessation du manquement, cette action peut désormais, être engagée en vue d’obtenir la réparation des préjudices matériels et moraux subis si le fait générateur du dommage est postérieur au 24 mai 2018. En outre, toute personne peut mandater une association ou une organisation aux fins d’exercer ses droits en son nom, notamment pour porter une réclamation auprès de la CNIL
Les limites à la collecte de données :
- L’interdiction de principe de collecter ou de traiter des données sensibles
Les « données sensibles » correspondent aux données révélant l’origine prétendument raciale ou ethnique, les opinions politiques, les convictions philosophiques ou religieuses, ou l’appartenance syndicale, concernant la santé, l’orientation sexuelle ou la vie sexuelle, les données génétiques ou biométriques aux fins d’identifier une personne physique de manière unique.
- Les exceptions :
L’interdiction de principe de collecter ou de traiter des données sensibles souffre d’exceptions lorsque la finalité du traitement l’exige pour certaines catégories de données. Ainsi à titre d’illustration, le projet de loi prévoit notamment comme exception : les traitements conformes à des règlements types établis par la CNIL mis en œuvre par les employeurs, et portant sur des données biométriques strictement nécessaires au contrôle de l’accès aux lieux de travail ainsi qu’aux appareils et aux applications utilisés dans le cadre des missions confiées aux salariés, aux stagiaires ou aux prestataires.
La question de la durée de conservation des données :
C’est aux entreprises qu’appartiendra d’évaluer la durée raisonnable de conservation des données qui n’excèdera pas celle nécessaire aux finalités du traitement.
L’intérêt de désigner d’un délégué à la protection des données (DPO)
Si cette désignation n’est obligatoire que pour les organismes publics et les entreprises dont l’activité de base amène à réaliser un suivi régulier et systématique des personnes à grande échelle ou à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions, la CNIL recommande de se doter d’un DPO (ex CIL).
Le DPO peut être externe ou interne à l’entreprise voire mutualisé entre plusieurs organismes.
Chargé de s’assurer de la mise en conformité en matière de protection des données, il doit notamment :
- Informer et conseiller le responsable de traitement ou le sous-traitant, ainsi que leurs employés;
- Contrôler le respect du règlement et de la loi ;
- Conseiller l’entreprise sur la réalisation d’études d’impact et en vérifier l’exécution;
- Coopérer avec l’autorité de contrôle et en être le point de contact.
Les principales mesures à prendre :
La CNIL a publié un guide recensant 6 étapes à mettre en œuvre par les entreprises afin de se mettre en conformité avec le RGPD :
- Désigner un délégué de la protection des données,
- Recenser les traitements des données personnelles et s’assurer qu’ils respectent bien les nouvelles obligations légales,
- Identifier les actions à mener afin de se conformer aux obligations et les prioriser,
- Procéder à une analyse d’impact sur la protection des données,
- Mettre en place des procédures internes qui garantissent la protection des données à tout moment,
- Constituer et regrouper la documentation nécessaire afin de prouver votre conformité.
Le Cabinet ACTANCE accompagne ses clients dans le cadre de la mise en place de la RGPD pour la partie RH.
S’agissant de la partie droit de la DATA, le cabinet travaille en partenariat avec le cabinet STAUB.
A ce titre, une formation commune sera organisée prochainement.