Dans cet article :
Entré en application depuis le 25 mai 2018, le règlement général sur la protection des données (RGPD) encadre le traitement des données personnelles sur le territoire de l’Union Européenne. Qu'il s'agisse de données clients, fournisseurs ou salariés, chaque entreprise manie tous les jours des données personnelles. Respecter la conformité du règlement requiert donc la mise en place de différentes actions. Voici les 7 étapes indispensables pour assurer son applicabilité et, corrélativement, renforcer la relation de confiance avec vos clients et vos salariés.
1. Comprenez les notions incontournables du Règlement
La "donnée personnelle"
Au sens du RGPD, une donnée personnelle permet d'identifier une personne physique :
- directement : nom ou prénom ;
- indirectement : identifiant, numéro de téléphone, adresse IP, donnée biométrique, association d'éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, culturelle ou sociale, voix ou image.
L'identification de la personne physique peut être établie à partir d'une seule donnée ou d'un croisement de plusieurs données.
Les données sensibles dont l'objet d'un traitement particulier et peuvent concerner non limitativement l'un des critères suivants : - génétique, - biométrique, - racial, - ethnique, - politique, - religieux, - syndical, - médical, etc. Le règlement européen interdit de recueillir ou d'utiliser ces données à l'exception des situations suivantes : - consentement exprès de la personne concernée, (démarche active et explicite de façon libre, spécifique et informée) ; - caractère public des informations à l'initiative de la personne concernée ; - nécessité de la collecte guidée par la sauvegarde de la vie humaine ; - justification de l'utilisation des données par l'intérêt public (et autorisé par la Cnil) ; - données en lien avec des membres ou adhérents d'une association ou d'une organisation politique, religieuse, philosophique, politique ou syndicale.
Le traitement de données personnelles
Un traitement de données personnelles désigne l'opération ou l'ensemble des opérations portant sur des données personnelles peu importe le procédé (collecte, enregistrement, organisation, conservation, extraction, etc.). Il n'est pas nécessairement informatisé et peut être effectué sur un support papier.
Pour comprendre de manière pratique les bases légales de collecte de données ou comment répondre aux demandes d'exercice de droits des personnes notamment, le Comité européen de la protection des données à récemment publié un guide à cet effet.
2. Dressez un état des lieux
En amont de toute action, vous devez identifier les différentes activités de votre entreprise qui collectent ou utilisent des données personnelles en lien avec votre activité, en interne ou en externe. Cette analyse implique une approche transversale des différents services concernés. La collecte peut impliquer différentes équipes de votre entreprise puisqu'elle recoupe entre autres bulletins de paie, badges d'entreprise, liste de fournisseurs, fichiers clients, statistiques des ventes, etc.
Le champ d'application du RGPD concerne tout organisme - public ou privé - à partir du moment où il traite des données personnelles pour son compte ou celui d'un client si : - le siège social est sur le territoire de l'Union européen, - son activité cible directement des résidents européens.
3. Constituez différents registres
Le registre des activités de traitement permet de recenser les différents types données personnelles collectées et de disposer d'une vue d'ensemble sur celles-ci. Vous pouvez vous appuyer, à cette fin, sur un modèle de registre disponible sur le site de la Cnil.
4. Fixez un objectif relatif à chaque traitement
La finalité de la collecte des données doit être adéquate, pertinente et limitée au regard du traitement concerné.
Exemple : Collecter et conserver l'orientation sexuelle d'un salarié ne respecte pas la finalité d'un traitement RH.
Elle doit de plus reposer sur un fondement légal tel que l'intérêt légitime ou le consentement.
Exemple : Si le but de la collecte est d'obtenir un consentement, il faut obtenir de la part de l'intéressé l'action de cocher une case.
5. Segmentez l'accessibilité interne aux données personnelles
Les données personnelles peuvent prendre différentes formes : fichier clients, fichiers fournisseurs, informations salariés. Cependant, ces données ne peuvent être accessibles à tous. Chaque service de l'entreprise doit justifier son droit de regard. Par exemple, seul un service RH peut accéder aux données sur les salariés. Plus globalement, cette segmentation s’inscrit dans une démarche de sécurisation de la data :
- tracer les accès et gérer les incidents ;
- sécuriser les postes de travail ;
- protéger le réseau informatique interne ;
- sécuriser les serveurs ;
- sécuriser les sites web ;
- sauvegarder et prévoir la continuité d'activité ;
- archiver de manière sécurisée ;
- encadrer la maintenance et la destruction de données ;
- gérer la sous-traitance ;
- sécuriser les échanges avec d'autres organismes ;
- protéger les locaux.
Un guide pratique édité par la Cnil détaille la sécurisation des données en la matière.
7. Prévoyez la durée de conservation
Un fichier de traitement de données personnelles ne peut être conservé de manière indéfinie. La durée de conservation doit être en adéquation avec l'objectif de la collecte.
N'hésitez pas à vous référer au guide pratique édité par la Cnil