Domaines d’expertise

Qu’est ce que le RGPD ?

Le RGPD (Règlement général de protection des données ou GDPR, pour General data protection regulation en anglais)  est le nouveau cadre européen concernant le traitement et la circulation des données à caractère personnel, ces informations sur lesquelles les entreprises s’appuient pour proposer des services et des produits. Ce texte couvre l’ ensemble des résidents de l’Union européenne. Il est entré en vigueur le 25 mai 2018. voir le site CNIL

Avant le RGPD — dont le nom plus solennel est le règlement du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données — existait une directive sur la protection des données personnelles qui date de 1995. Ce texte est abrogé par le RGPD.

Les données visées par le RGPD englobent toutes les informations permettant d’identifier une personne physique, directement ou indirectement. Que ce soit son nom, son image (en clair, ses photos), son adresse postale ou IP, ses identifiants, son numéro de téléphone, son numéro de Sécurité sociale, ses mails… Ces données sont qualifiées de sensibles en ce qu’elles touchent à l’intimité des individus.  Elles doivent rester « privées ».

Quel est l’objectif du RGPD ?

L’objectif du RGPD est d’être le nouveau texte de référence dans l’Union européenne au sujet des données personnelles, en remplaçant une directive datant de 1995. Une réforme de la législation européenne apparaissait nécessaire au regard de sa relative vétusté, accentuée par l’explosion du numérique et l’apparition de nouveaux usages et la mise en place de nouveaux modèles économiques.

Il s’agit aussi d’harmoniser le panorama juridique européen en matière de protection des données personnelles, afin qu’il n’y ait qu’un seul et même cadre qui s’applique parmi l’ensemble des États membres, que ce soit en France, en Allemagne, en Italie ou en Espagne ainsi que dans la vingtaine d’autres pays de l’Union. De cette façon, la fragmentation juridique sur le Vieux Continent s’en trouve atténuée.

Etes vous concernés ?

Vous êtes concernés si vous traitez les informations personnelles (employés, clients, fournisseurs, organismes…) de type  situation familiale, économiques, santé, appartenance éthique, opinion politique, engagement syndical, orientation sexuelles,  juridique.

Le RGPD réaffirme les droits pour les personnes concernées de maîtriser leurs données en leur conférant des droits : droits d’accès, de rectification, d’effacement, d’opposition, etc. Respecter ces droits contribue à valoriser votre image.

Si les données personnelles ne sont pas au cœur de votre activité, les moyens à déployer pour vous mettre en conformité au RGPD ne seront pas très importants.

Pourquoi faire appel à un prestataire ?

• Vous n’avez pas le temps ni les moyens de vous informer sur RGPD.
• Votre équipe informatiques est fortement sollicitée.
• Vous souhaitez avoir un avis externe impartial sur votre système d’information.
• Vous n’avez pas des ressources disponibles pour mener les études et suivre la mise en œuvre des recommandations.

La démarche et les outils

Notre offre s’appuie sur la démarche CNIL se préparer en 6 étapes

Le choix des module s’effectue après un diagnostic rapide ou une phase de cadrage ou bien à chaque point périodique (principe d’une approche agile).

Les outils méthodologiques ou techniques utilisés pendant la prestation démarche d’accompagnement peuvent être choisis par l’entreprise : spécifiques ou publics par exemple : CNIL : outil PIA,  MEDEF : test Medef RGPD  ou bien ceux développés par Brainix IT

Ces outils comportent une double approche « externe métier  » et « interne système d’information ». Par exemple en phase de diagnostic :

Le laboratoire de la CNIL sur Github

Je suis une entreprise, voici les 5 étapes à mettre en place

Vous allez devoir expliquer pourquoi vous collectez les données et comment elles seront utilisées. Et ceci pour chacune d’elles.

1. Posez-vous la question de la nécessité des informations collectées et de la finalité qu’auront celles-ci.

Rien ne sert de collecter des données sensibles qui ne seront pas exploitées et pour lesquelles de lourds processus doivent être mis en place.

2. Mettez en place le consentement éclairé et sachez en apporter la preuve.

• Soyez clair, explicite : pas d’ambiguïté ni de case pré-cochées (opt-in passif).
• Le consentement doit être libre de choix : la personne concernée doit pouvoir refuser ou retirer son consentement de façon accessible.
• Il doit être spécifique : le consentement aux CGV ou aux CGU doit être séparé du consentement au traitement des données.
• Il doit être détaillé concernant les partenaires et autres parties prenantes de l’entreprise qui l’utiliseront.
• Toutes les finalités pour lesquelles seront utilisées les données doivent être indiquées.
• La durée de conservation doit apparaître.

N’oubliez pas que vous avez l’obligation de conserver une preuve des consentements.

3. Mettez en place un registre, pour cartographier les données.

Dans ce registre listez les activités pour lesquelles vous traitez des données personnelles (gestion de la paie, des fournisseurs, des prospects).

Puis vous devrez créer et tenir à jour une fiche de registre par activité :

• Objectifs poursuivis (finalité : RH, marketing, mailing).
• Catégories de personnes concernées (salariés, usagers, clients…).
• Catégories de données collectées (adresses IP, états civils, données bancaires…).
• et leur sensibilité (biométriques, politiques, ethniques…).
• Durées de conservation des catégories de données.
• Mesures de sécurité (sauvegarde des données, contrôles d’accès…).
• Catégories de destinataires des données :
  • organismes externes (filiales, partenaires) ;
  • sous-traitants (hébergeurs, prestataires…) ;
  • transfert vers des pays hors UE.

Grâce à ce registre et à cette vision d’ensemble, le DPO (Délégué à la Protection de Données) de votre entreprise, pourra vous accompagner dans la mise en conformité. Ce n’est pas le travail d’un jour mais plutôt une démarche permanente dont le DPO devra être le pilote.

4. Revoir les contrats fournisseurs

Si vous donnez accès à vos données à l’un de vos sous-traitants, celui-ci devient alors coresponsable du traitement de ces données. Il faut donc interroger vos fournisseurs sur les modalités de leur mise en conformité au RGPD.

5. Violation de données

En cas de violation de données, les entreprises sont maintenant obligées de prévenir les personnes concernées : le salarié, le consommateur ou l’utilisateur mais également la CNIL au plus tard 72 heures après la découverte de la violation.

Notez que si vous ne respectez pas le RGPD, des sanctions seront appliquées. Celles-ci sont progressives en fonction de la gravité des manquements aux obligations. Elles peuvent donc aller de l’avertissement à une amende de 4% du chiffre d’affaires mondial de votre entreprise.

Je suis salarié, qu’est-ce que le RGPD va changer ?

Comme pour les collectes de données via les sites web, les entreprises collectent des données sur leurs salariés dès leur embauche.

Elles doivent donc vous informer sur l’utilisation de vos données (clause dans le contrat de travail) et vous permettre de donner ou de retirer à tout moment votre consentement quant à l’usage de votre image (trombinoscope d’entreprise par exemple).

Dès votre départ, toutes ces données doivent être archivées puis supprimées après la durée de prescription légale.

Que faire en cas de contrôle de la CNIL ?