Le règlement général sur la protection des données du 27 avril 2016, dit RGPD, est entré en vigueur le 25 mai 2016, remplaçant la Directive sur la protection des données personnelles adoptée en 1995. Les dispositions du RGPD sont applicables dans l'ensemble des 28 États-membres de l'Union européenne à compter du 25 mai 2018. Le RGPD renforce le droit des personnes au niveau individuel et impose des nouvelles obligations aux responsables de traitement.
Sont concernées par le RGPD, toutes les grandes entreprises de plus de 250 salariés, les TPE et les PME, qui ont dû se mettre en conformité, en modifiant les procédures existantes ou en mettant en place des procédures sécurisées de traitement des données personnelles; si elles ne veulent pas être sanctionnées durement par les autorités de régulation (par exemple : la CNIL).
Quelles sont étapes de mise en conformité ? Quels sont points essentiels du RGPD ?
- Désigner un délégué à la protection des données (DPO/DPD)
Le DPD a des compétences en matière juridique et technique. Il est souvent présenté comme étant le chef d'orchestre de la conformité au sein d'une entreprise. Il est garant du respect de la réglementation au sein d'une structure : il informe et conseille le responsable du traitement et les employés ; il veille au respect du règlement en matière de protection des données et des règles internes ; il dispense des conseils en ce qui concerne la protection des données et coopère avec les autorités de contrôle (à l'occurrence la CNIL, en France) sur les questions relatives au traitement des données.
Le DPD représente une aide non-négligeable pour l'entreprise. Il conseille et assiste l'entreprise dans ses démarches.
- Cartographier et tenir des registres de traitements
Il faut recenser l'ensemble des traitements de données personnelles, informatisés ou sous forme d'archives papier. Il faut s'assurer que le traitement actuel soit en conformité aux exigences légales en matière de sécurité, de conservation des données et de respect des droits des personnes.
Ce travail de recensement peut être demandé ultérieurement par la CNIL.
L'employeur doit cartographier l'ensemble des traitements relatifs aux ressources humaines et marketing qui utilisent de nombreuses données nominatives.
Notons, qu'il est recommandé de cartographier, dès à présent, les contrats passés avec les partenaires commerciaux et les sous-traitants puisque certaines dispositions du RGPD seront obligatoires dans les contrats de sous-traitance.
- Définir les actions à mener
Il s'agit de définir quels sont les moyens mis à la disposition de l'entreprise pour sécuriser les données (anonymisation, chiffrement).
Il faut par ailleurs, déterminer quelles sont les modalités d'exercice des droits des personnes en ce qui concerne le recueil du consentement et le droit à l'oubli.
L'employeur ne peut collecter que les données adéquates, pertinentes et strictement nécessaires à la finalité du traitement.
De même, au sein même de l'entreprise, doit être établie une politique de durée de conservation des données prévoyant la possibilité de supprimer les données dès lors qu'elles ne présentent plus aucune utilité eu égard de l'objectif visé.
Toute la politique de confidentialité doit être révisée en profondeur afin de protéger les droits des personnes.
- Gérer les risques
Il est demandé aux entreprises de savoir gérer les risques et d'identifier clairement les traitements de données pouvant engendrer des risques conséquents pour les droits et libertés des personnes.
Le RGPD met en place des études d'impact sur la vie privée et la protection des données et consacre le principe "d'accountabilité".
- Gérer le processus interne
L’entreprise et le DPD doivent établir un plan de mise en conformité.
Pour ce faire, il faud réviser les procédures internes et organiser la circulation de l'information au sein de l'entreprise.
Les nouvelles procédures internes doivent prioriser la protection des données durant toutes les phases d'un traitement (la collecte, la gestion des demandes de rectification ou d'accès, les changements de prestataires, les modifications des données collectées, les failles de sécurité, la suppression).
- Sensibiliser les collaborateurs
La sensibilisation consiste à former les salariés aux nouvelles dispositions prévues par le RGPD et de disposer d'une documentation complète.
Un registre doit ainsi être tenu par le DPD. Sont listés : les différentes collectes de données, les catégories de données traitées, les outils de traitement, les procédures de vérification de la sécurité des données, les failles de sécurité, les habilitations des accès.
Un bilan doit répertorier toutes les actions menées en faveur de la protection des données personnelles.
Parallèlement, l'employeur doit informer ses salariés ou candidats à l'embauche de la mise en place du traitement des données personnelles, de ses finalités et des modalités de mise en œuvre.
L'information doit être délivrée de façon claire et apparaître sur divers supports (site internet de l'entreprise, documents internes à l'entreprise, contrats de travail, le règlement intérieur).
Enfin, avant toute collecte de données personnelles, l'employeur doit s'assurer d'avoir préalablement recueilli le consentement du salarié ou du candidat (opt-in). Il doit prévoir à cet effet, des systèmes de collecte tels qu'une autorisation écrite ou un formulaire avec des cases à cocher.
Quelles sont les différentes sanctions prévues par le RGPD ?
Les sanctions administratives peuvent consister en : « 10 000 000 euros d’amende ou, dans le cas d’une entreprise, jusqu’à 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu » (article 83).
Le RGDP prévoit un cumul de sanctions administratives et pénales.
L'entreprise condamnée peut se voir interdire de poursuivre tout ou partie le traitement de données personnelles, d'utiliser les données recueillies ou de les transférer.
Enfin, la victime peut obtenir réparation de son préjudice sur le plan civil et/ou administratif en engageant une action en justice.
1 Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016