Depuis le 25 mai 2018 s’applique le nouveau règlement européen sur « la qualification et le traitement de données personnelles par les entreprises ». Peut-être même avez-vous déjà reçu des mails ou courriers de certaines entreprises dont vous êtes client, à titre professionnel ou privé. Elles vous indiquent simplement qu’elles détiennent des informations vous concernant et vous proposent même de les effacer si vous le souhaitez.

Toutes les entreprises et associations, publiques et privées sont concernées par cette obligation appelée RGPD, Règlement Général sur la Protection des Données personnelles.
Sont considérées comme données personnelles, les informations relatives à une personne physique susceptible d’être identifiée, directement ou indirectement. Il s’agit des coordonnées (nom, prénom, téléphone, mail, adresse…), de l’état civil (date de naissance, situation matrimoniale, nombre d’enfants…), et bien sûr des informations plus intimes (taille & poids, propriétaire ou locataire, cursus de formation…). On y ajoutera les codes et identifiants, comme ceux qui permettent le renouvellement de badges d’accès sécurisés dans l’entreprise ou plus anodins, ceux des cartes de cantine.

Certaines données sont dites « sensibles », comme le numéro de sécurité sociale, les informations médicales, politiques et religieuses…
Qu’importe alors l’intention et la façon dont elles sont récoltées ; que la finalité soit commerciale (liste de prospects et clients…), statistique ou règlementaire (contrat de travail, bulletins et charges sociales…), ce qui compte, c’est le traitement et l’utilisation qui en sont faits. Les professions médicales par exemple, ont évidemment besoin de ces données personnelles voire intimes, elles doivent tout de même en informer leur patientèle.

Certaines entreprises sont moins concernées certes, mais dans l’absolu, toute manipulation des données personnelles, informatisée ou non, est un traitement de données, qu’elle soit réalisée dans l’entreprise même ou en sous-traitance
Enfin, il faut toujours se poser la question : « est-ce que ma société commercialise les données » ?

Pourquoi tant de précaution ?

Pour protéger les droits des personnes physiques. A cette fin, ces dernières doivent savoir que leurs données sont collectées et pour quoi faire. Les documents légaux comme les contrats et conditions générales de vente doivent clairement définir l’objectif poursuivi, et seules les données nécessaires doivent être collectées. Il va de soi que les données doivent pouvoir être actualisées. La durée de leur conservation doit être définie et les données supprimées à échéance.
Enfin, elles doivent être sécurisées, et toute violation d’accès communiquée.

Alors quoi faire ?

La CNIL, Commission Nationale de l’Informatique et des Libertés, qui veille à la bonne application du règlement, recommande de constituer un registre des traitements de données, document dans lequel vous identifiez les activités qui nécessitent la collecte de données (recrutement, gestion de la paye, formation, statistiques de ventes, gestion des prospects…). Vous y précisez aussi qui a accès à ces données, et pour combien de temps.
Certes c’est une obligation de plus, mais ce peut être aussi l’occasion de faire le tri dans vos données existantes. Toutes sont-elles nécessaires à votre activité ? Si par exemple vous n’offrez aucun service de mutuelle ou de loisir, il n’est sans doute pas utile de savoir si vos salariés ont des enfants.
Pour les PME, le RGPD suggère même la désignation d’un délégué à la protection des données. Il commencera par identifier les traitements de données personnelles qui sont faites dans l’entreprise et définira les actions de mise en conformité nécessaire à chaque traitement. Vous évaluerez alors l’impact de la détention de fichiers de données personnelles, et organiserez la protection en fonction. Vous constituerez un dossier documenté et à jour, comme élément de preuve de conformité.
Ces dispositions sont évidemment variables selon la taille de l’entreprise, la nature des données traitées et le rôle de l’entreprise dans les traitements. Mais on voit que toutes sont concernées, et suppose la vigilance. De nombreuses documentations sont disponibles sur le site de la CNIL

Qui contrôle ?

Le projet de loi en cours devrait définir les règles d’application de ces dispositions européennes en France. Quoi qu’il en soit, la CNIL devient l’organisme de contrôle de l’application du RGPD. Elle peut à ce titre engager des enquêtes, de son propre chef ou sur réclamation, demander des documents, procéder à un audit ou accéder aux locaux et aux données.
Les réprimandes vont du simple rappel à l’ordre à l’interdiction d’un traitement, des amandes lourdes en cas de manquement grave ou d’infraction au Code pénal.
S’agissant des PME, même si l’impact n’est pas élevé, il ne faut pas éluder la question, et avertir ses clients et prospect.

Retrouvez notre note d’information