L’Union européenne a adopté le 14 avril 2016 le règlement général sur la protection des données (RGPD). Ce règlement a pour objectif d’harmoniser les pratiques des entreprises au sein de l’Union européenne, notamment celles qui concernent l’utilisation des données personnelles des citoyens par ces entreprises. Le RGPD est obligatoire dans l’ensemble des 28 états membres depuis le 25 mai 2018. Tous les acteurs ayant recours à des données personnelles doivent se conformer à ce règlement européen.
Entrepreneur, dirigeant ou juriste d’entreprise, vous vous demandez si votre entreprise est concernée par la mise en conformité avec le RGPD ? Dans cet article, nous allons vous donner les clés pour vous aider à mieux vous repérer.
Traitement des données personnelles : de quoi s’agit-il ?
D’après le RGPD, les données à caractère personnel correspondent à « toute information se rapportant à une personne physique identifiée ou identifiable ». Il peut s'agir par exemple du nom, du prénom, d’une adresse postale ou d’une adresse électronique, d’une adresse IP, d’une photo, d’un numéro de carte d’identité ou encore d'informations bancaires. L'objectif du règlement : la protection de la vie privée des citoyens.
Ces données peuvent faire l’objet d’un traitement par les entreprises, c’est-à-dire d’une collecte, d’un stockage ou d’une utilisation par exemple. Il peut s’agir des données des salariés de l’entreprise, mais aussi de ses clients, fournisseurs, etc. Le règlement européen s’applique à tout traitement de données personnelles effectué par une entreprise sur le territoire français ou européen.
Qui est concerné par le RGPD ?
Deux critères permettent de distinguer les entreprises concernées par le RGPD. Le règlement s’applique à toute organisation effectuant un traitement de données personnelles :
- Si cette organisation est établie sur le territoire de l’Union européenne ;
- Ou si son activité cible directement des résidents européens.
Toutes les entreprises établies sur le territoire de l’Union européenne et qui stockent des données personnelles sont donc concernées (le stockage de données est une forme de traitement).
Peu importe que la collecte de données ne soit pas votre activité principale ou que la collecte soit effectuée pour le compte d’une autre entreprise.
Le RGPD s’applique quelle que soit la taille de votre entreprise, que vos interlocuteurs soient des entreprises privées ou des organismes publics, en B2B (activités entre professionnels) comme en B2C (activités avec des clients non professionnels) et quel que soit votre chiffre d’affaires annuel.
À noter que le règlement s’applique également aux sous-traitants de toute entreprise établie au sein de l’Union européenne, même si ces sous-traitants ne sont pas situés sur le territoire européen. Le RGPD prévoit un principe de coresponsabilité entre l’entreprise et ses sous-traitants pour les données remises par l’entreprise à ses prestataires.
Par ailleurs, le règlement s’applique pour le traitement de données de tout citoyen européen, indépendamment de sa nationalité. Même si les données sont stockées en dehors du territoire européen, toute activité ciblant un citoyen européen est soumise au RGPD.
Les rares exceptions qui échappent à l’application du RGPD sont les comportements privés, les activités mises en place pour la prévention d’infractions pénales et les activités protégeant les libertés et droits fondamentaux.
Les actions à mettre en place pour se mettre en conformité
Quelques actions simples peuvent être mises en place pour préparer la conformité avec le RGPD.
- Collecter uniquement les données pertinentes : les données indispensables pour atteindre votre objectif. Vérifier que vous avez bien le droit de collecter ces données et que les personnes concernées sont bien d’accord.
- Recenser les données : vous pouvez créer un registre pour recenser les données que vous possédez et vérifier que vous êtes en conformité avec le RGPD. C’est également l’occasion pour vous d’effectuer un tri de vos données.
- Être transparent : veillez à informer clairement les personnes dont vous collectez les données.
- Maîtriser l’utilisation des données collectées : veillez à ce que l’utilisation des données collectées soit encadrée et face l’objet d’un suivi.
- Sécuriser les données collectées et stockées : mettez en place des mesures de sécurité pour protéger les données collectées.
- Identifier et gérer les risques : suivant la quantité de données que vous collectez et suivant le caractère de ces données, identifiez les risques que cela présente afin de prendre les mesures de sécurité adaptées.
Tous les organismes traitant des données personnelles doivent tenir un registre des activités de traitement. Ce registre doit comprendre :
- Les parties prenantes ;
- Les catégories de données traitées ;
- La destination des données, les personnes qui y accèdent et à qui elles sont communiquées ;
- Le temps de conservation des données ;
- Le type de sécurité attaché à ces données.
Les entreprises de moins de 250 salariés bénéficient d’une dérogation concernant ce registre. Elles ne sont tenues d'inscrire que les traitements de données non occasionnels, susceptibles de comporter un risque pour les droits et libertés des personnes, ou qui portent sur des données sensibles.
Par ailleurs, la désignation d’un Délégué à la Protection des données (DPO) est obligatoire pour tout organisme effectuant un traitement de données :
- S’il s’agit d’un organisme du secteur public ;
- Si les activités principales de l’organisme entraînent un suivi régulier et systématique des personnes à grande échelle ;
- Si les activités principales de traitement à grande échelle concernent des données sensibles ou relatives à des infractions pénales.
Attention aux phases de recrutement, qui présentent nécessairement des formes spécifiques de collecte, d’utilisation et de stockage des données personnelles. Par exemple, lorsque votre entreprise reçoit un CV. Les règles du RGPD s’appliquent donc à tous les candidats. L’entreprise doit veiller à ce que les données collectées soient bien en lien avec le poste à pourvoir. Il faudra donc prévoir de supprimer les données des candidats non retenus, sauf s’ils acceptent de figurer au sein de votre base de données pour une durée maximale de deux ans.
Quand aux données partagées avec vos sous-traitants, vous aurez besoin de vous assurer que ces derniers respectent des obligations spécifiques en matière de sécurité, de confidentialité et de suivi de leur activité. Notez qu’ils ont également une obligation de conseil envers leurs clients, et devront vous aider lors de la mise en œuvre des obligations du RGPD. Vous avez tout intérêt à rédiger un contrat avec vos sous-traitants afin d’organiser ce partage de données.
Enfin, soyez particulièrement vigilant si votre entreprise traite des données "à risque" :
- Les origines ethniques ;
- L’état de santé ;
- L’orientation sexuelle ;
- Les opinions politiques ou religieuses ;
- L’appartenance syndicale ;
- Les informations génétiques ou biométriques.
Ce type de données requiert une attention toute particulière : vous aurez à conduire une analyse d’impact sur la protection des données avant de commencer toute opération de traitement.
Ne prenez pas de risques sur le RGPD : faites-vous assister par des professionnels compétents
Simplifiez-vous la vie et opter pour une solution sure et pratique : choisissez l'accompagnement juridique Captain Contrat afin de vous mettre en conformité et d’adopter la meilleure stratégie de gestion des données à caractère personnel.
Une question ? Laissez votre commentaire