RGPD : artisans, êtes-vous prêts ?
Les pistes d’amélioration
Le RGPD harmonise le régime juridique européen et remplace une directive de 1995. Il vise trois objectifs :
- renforcer les droits des individus sur leurs données : création d’un droit à la portabilité des données personnelles, protection des mineurs accrue ;
- responsabiliser les acteurs traitant des données : entreprises, institutions, responsables de traitement et sous-traitants ;
- renforcer la régulation et la coordination : les autorités de protection des données prendront plus facilement des décisions et des sanctions, à l’échelle de l’UE.
Quelles sanctions ?
A compter du 25 mai 2018, tout traitement contraire au règlement est passible de sanctions : amendes allant jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel. Les entreprises hors UE traitant des données à l’intérieur de l’UE sont aussi concernées.
Seront responsables du traitement des données les entreprises et institutions, mais aussi les prestataires informatiques et donneurs d’ordre. Ainsi, il ne sera pas possible de déléguer ses responsabilités à d’autres entités.
Le rôle de la CNIL
En France, c’est la Commission nationale de l'informatique et des libertés (Cnil) qui veillera à la bonne application du RGPD. En parallèle, certaines démarches de conformité des entreprises seront assouplie.
Les contrôles seront réalisés en ligne, sur audition et sur pièces. La Cnil vérifiera le respect des principes fondamentaux : loyauté du traitement, pertinence et sécurité des données, durée de conservation.
Où en est-on ?
Pour l’heure, la majorité des entreprises françaises ne sont pas prêtes, voire n’ont jamais entendu parler du RGPD.
C’est pourquoi la Cnil recommande, dans un premier temps, de privilégier les actions de mise en conformité avec les règles de fond du RGPD et de préparer si nécessaire une analyse d’impact (DPIA), “dans un délai raisonnable de trois ans”.
Les entreprises bénéficient d’un droit à l’erreur : avant toute amende, des avertissements puis des mises en demeure sont prononcés. De plus, la nature de l’infraction, sa gravité, son caractère délibéré et sa répétition seront pris en compte dans la sévérité de la décision de la Cnil.
Pas de panique, donc…
Qu’est-ce qu’une donnée personnelle ?
Il s’agit de toute information permettant de reconnaître ou identifier une personne, directement ou indirectement.
Sont concernés : nom, prénom, adresse postale et électronique, téléphone, numéro de sécurité sociale, de carte bancaire, revenus, plaque d’immatriculation, mots de passe, adresse IP, historique de navigation web, de tchat, de géolocalisation, photo...
Leur divulgation ou leur mauvaise utilisation peut porter atteinte aux droits et libertés des personnes et à leur vie privée.
Où figurent ces données ?
En entreprise, ces données figurent notamment dans les contrats, fiches de paie, formulaires, documents relatifs à la santé, casiers judiciaires, trombinoscopes, badges d’accès, matériels informatiques pro, répertoire mail interne de l’entreprise, documents commerciaux (devis, factures, fiches d’intervention…), documents bureautiques, bases de données clients…
Note : sauf autorisation préalable, ces données doivent être stockées en Europe. En cas de fuite de données, l’entreprise devra le signaler dans les 72h à la Cnil.
Définition du “traitement” des données : collecte, enregistrement, organisation, structuration, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission, diffusion, mise à disposition, rapprochement, interconnexion, limitation, effacement, destruction.
Se préparer en 6 étapes
Pour aider les professionnels à se préparer au RGPD, la Cnil propose six étapes :
1. Désigner un pilote. (Valable surtout pour les grandes structures). Le Délégué à la Protection des Données se chargera des procédures de gestion des données, dont il assurera la conformité. Dans les petites entreprises, il est possible de nommer un salarié ou un prestataire extérieur.
2. Cartographier les traitements de données personnelles.
Il s’agit de mettre en place un registre des traitements, comprenant :
- les types de traitement de données personnelles
- les catégories de données personnelles
- les acteurs en contact avec ces données.
Pour chaque donnée, il faut indiquer :
- pourquoi vous les avez recueillies (le but étant d’en avoir le moins possible)
- le lieu de stockage
- le temps de conservation.
3. Prioriser les actions et identifier les traitements à risque. Une fois le registre établi, identifiez les anomalies, puis déterminez des actions pour vous mettre en conformité.
Exemple : vous pouvez imposer à vos salariés la personnalisation de leur mot de passe de messagerie, ou effacer les archives d’anciens salariés.
4. Gérer les risques. Pour chacun des risques identifiés, il faut mener une analyse d’impact (DPIA, Privacy Impact Assessment) sur la protection des données. L’idée est notamment de mesurer les risques de fuite des données, en envisageant tous les cas de figure.
5. Organiser les processus internes. Pour conserver en permanence un haut niveau de protection des données, adoptez de « bons réflexes ». Par exemple, limitez l’accès des salariés aux données des clients, afin que seuls les gestionnaires concernés puissent en disposer.
6. Documenter la conformité. Pour être au clair en cas de contrôle de la Cnil, mettez à jour tous les documents liés aux données personnelles :
- registre des traitements
- DPIA
- clauses contractuelles, BCR et certifications relatives à l’encadrement des transferts de données hors de l’UE
- information aux personnes : notes internes, recueil du consentement...
Gare aux arnaques
La Cnil met en garde contre les tentatives d’arnaques de faux “experts RGPD”, susceptibles de soutirer de l’argent aux chefs d’entreprises. Pour être conseillé, n’hésitez pas à appeler la Cnil au numéro dédié : 01 53 73 22 22.
La Cnil met en outre à disposition 17 fiches pratiques rappelant les bases de la protection des données, sur son site www.cnil.fr.
Un guide spécial à destination des petites entreprises est également disponible.
- Connectez-vous ou inscrivez-vous pour publier un commentaire