Règlement général sur la protection des données

RGPD 1/2

Tout le monde en parle … et depuis quelques jours, la nouvelle loi s'applique. Certains d'entre vous nous ont questionnés, aussi voici quelques informations générales concernant ce sujet.
PREMIER POINT : Pas de panique !

Pour vous rassurer Isabelle Falque-Perrotin, Présidente de la CNIL dit :

Il faut en finir avec l’alarmisme sur le RGPD ! Avec ce guide, nous voulons montrer aux PME que se mettre en conformité c’est facile, en adoptant simplement de bons réflexes. A l’heure où les consommateurs sont de plus en plus soucieux de leurs données personnelles, proposer une relation de confiance à ses collaborateurs, clients, prospects, c’est aussi utile à l’entreprise.
Enfin, un couperet ne va pas tomber sur les entreprises le 26 mai.

Mais de quoi s'agit-il ?

Il s'agit du Règlement Général sur la Protection des données, à savoir une nouvelle loi européenne adoptée le 27 avril 2016 et applicable depuis ce vendredi 25 mai 2018. Elle remplace la loi française (n° 78-17 du 6 janvier 1978) relative à l'informatique, aux fichiers et aux libertés. Les formalités auprès de la CNIL diminuent, la collecte, l’exploitation et le stockage des données personnelles restent autorisées mais doivent simplement répondre à des règles de bonne conduite et de sécurité.

Qui est soumis à cette nouvelle loi ?

Les entreprises, les organismes publics, mais aussi les associations, voire les particuliers.

Que concerne cette nouvelle loi ?

Cette nouvelle loi concerne exclusivement les personnes physiques (en aucun cas les personnes morales), lorsque des données personnelles sont enregistrées concernant ces personnes.

Que veut dire "donnée personnelle" ?

C'est une information qui, directement ou indirectement, permet d'identifier une personne physique : un nom, une adresse, une photographie, un numéro d'identification comme un numéro de carte bancaire. Pour que le règlement européen s'applique, il faut que ces données à caractère personnel soient enregistrées dans un outil, généralement informatisé, qui va permettre de collecter, d'enregistrer et de traiter de la donnée personnelle. Il peut s'agir d'un progiciel extrêmement sophistiqué mais aussi d'un petit tableau créé avec un outil de bureautique, et pourquoi pas un tableau manuscrit ou un dossier papier.

Que faut-il retenir ?

Deux contraintes s'imposent à vous :

  • Si vous collectez des informations auprès de personnes, ces personnes ont des droits : le droit à l'information, au consentement dans certains cas (informations sensibles), le droit de rectification en cas d'erreurs, d'effacement, etc. La mise en œuvre de tous ces droits doit donner lieu à la rédaction de procédures internes pour savoir comment y répondre en cas de demande par la personne.
  • Si vous voulez mettre en œuvre un traitement de données à des fins commerciales ou de business, vous devez respecter le cadre d'obligations prévu dans le règlement : obligation de collecter les données de façon loyale et proportionnée, de sécuriser les données, de fixer des durées de conservation.

Quelques questions à vous poser :

  • Suis-je certain de respecter le principe de collecte loyale et proportionnée ?
  • Ma conformité est-elle documentée ?
  • Concernant le droit à l'oubli, une durée de conservation a-t-elle été définie ?
  • Des procédures sont-elles définies afin de respecter le droit des personnes fichées ?
  • Des modalités d’archivage des données ont-elles été définies ?
  • Une politique de sécurisation et de confidentialité des données a-t-elle été définie ?
  • Existe-t-il une collecte de données particulièrement sensibles (opinions politiques, religieuses, condamnations, infractions, NIR, etc) … ATTENTION DANGER !

Pour information, le NIR (ou numéro de sécurité sociale) peut être collecté dans le cadre légal des ressources humaines (paie du personnel). Dans l'attente de nouvelles dispositions (puisqu'il s'agit d'une information typiquement française), son utilisation doit rester cantonner à ce cadre législatif.

Le kit de survie :

  • Si nécessaire, nommer un DPD ou un référent à la protection des données et définir ses missions
  • Se doter d'un registre des traitements et le tenir à jour
  • Elaborer une chartre de bonnes pratiques en interne
  • Assurer le droit à l'oubli

Pour information, le règlement européen dit que le DPD (délégué à la protection des données) est obligatoire :

  • Pour toutes les structures du secteur public
  • Dans le secteur privé, pour toutes les entreprises mettant en œuvre des traitements dont la finalité est le suivi régulier et systématique et à grande échelle de personnes
  • Dernier cas, s'il y a collecte de données sensibles ou de données d'infraction

Quelques liens utiles:

Une vidéo : https://www.youtube.com/watch?v=u4M5lVYv3UI
Le site de la CNIL : https://www.cnil.fr
En particulier : https://www.cnil.fr/fr/un-nouveau-guide-de-la-securite-des-donnees-personnelles
Une association donnant accès à des informations même sans être adhérent : https://www.afcdp.net/
Et pour les plus courageux … un MOOC dont sont issus ces informations (inscription possible jusqu'au 3 jui)
Protection des données personnelles le nouveau droit par le CNAM : https://www.fun-mooc.fr/
Nous restons à votre écoute pour répondre à toutes vos questions.