RGPD
 

 

Le traitement des données personnelles représente d’énormes enjeux en termes juridique et économique. En effet, avec l’avènement du big data les données personnelles sont devenues le nouvel or noir. Depuis 2018 et à l’échelle européenne, ce domaine sensible est encadré par le RGPD : le Règlement Général de la Protection des Données.

Toutes les entreprises européennes, quelle que soit leur taille, doivent être en conformité avec ce texte. WE PAIE vous détaille aujourd’hui les réponses aux questions que vous vous posez :

Quelles sont les obligations des entreprises face au RGPD ?

Quels sont les objectifs du RGPD ?

 

 

Quelles informations sont qualifiées de données personnelles ?

Les données personnelles

Une donnée personnelle est ainsi définie par la CNIL : « toute information se rapportant à une personne physique identifiable ».

L’identification peut aussi bien être directe (nom, prénom) qu’indirecte (numéro de téléphone, donnée biométrique…).

Par exemple, les fichiers clients/fournisseurs entrent dans le champ du traitement des données. Le RGPD concerne donc potentiellement toutes les entreprises.

 

Les données sensibles

Il existe une catégorie particulière : les données sensibles. Elles concernent notamment l’origine ethnique, les opinions politiques, les convictions religieuses, l’appartenance syndicale, l’orientation sexuelle… mais aussi les données génétiques et les données de santé.

En principe, le RGPD interdit le recueil des données sensibles, sauf dans certains cas. En particulier si la personne concernée donne son consentement exprès, ou que les données sont nécessaires à la sauvegarde de la vie humaine.

 

 

Quels sont les objectifs du RGPD ?

Dans un contexte où les données personnelles sont de plus en plus convoitées, le RGPD poursuit plusieurs objectifs :

  • Renforcer les droits des personnes
  • Responsabiliser tous les acteurs qui traitent des données, et notamment les entreprises
  • Crédibiliser la régulation.

Le RGPD permet d’harmoniser les règles au niveau européen. Parmi les notions-clés à retenir :

  • Le consentement : il doit être explicite, actif et positif. Concrètement, les cases du type « J’accepte que mes données soient traitées » ne doivent pas être cochées par défaut.
  • La transparence : les activités de traitement de données doivent faire l’objet d’une archive, en cas de contrôle des autorités ou demande d’accès d’un utilisateur.

Les entreprises doivent s’efforcer de recueillir uniquement les données ayant une finalité légitime pour leur activité. En outre, elles doivent veiller à la sécurité des données.

 

 

Quelles sont les obligations des entreprises face au RGPD ?

Le RGPD concerne aussi bien les fichiers informatiques, que les fichiers au format papier. Et il s’applique à toutes les organisations privées et publiques qui :

  • sont établies sur le territoire de l’Union Européenne, ou dont l’activité cible directement les résidents européens
  • Traitent des données personnelles, pour leur compte ou non.

 

La principale obligation consiste à tenir un registre. Ce registre doit recenser :

  • Les parties prenantes intervenant dans le traitement des données
  • Les catégories de données
  • Leur utilité pour votre entreprise
  • Les personnes qui peuvent y accéder et à qui elles sont communiquées
  • Leur temps de conservation
  • Leur mode de sécurisation

Si votre entreprise compte moins de 250 salariés, vous bénéficiez d’une dérogation. Ainsi, vous devez seulement recenser les traitements qui :

  • comportent un risque pour les droits et libertés des personnes (vidéosurveillance)
  • Portent sur des données sensibles
  • Ne sont pas occasionnels, tel que la gestion de la paie.

N’hésitez pas à utiliser le modèle simplifié de la CNIL, adapté aux PME et TPE.

Si votre entreprise traite des données sensibles à grande échelle, vous devrez également désigner un délégué à la protection des données. De même si votre activité requiert le suivi régulier et systématique d’un grand nombre de personnes.

 

 

Le cas particulier des données de santé

Les professionnels de santé traitent quotidiennement des données sensibles. Ils doivent donc mettre en place certaines mesures pour se conformer au RGPD :

  • Recueillir uniquement les informations nécessaires à la prise en charge (prévention, diagnostic et soin)
  • Informer les patients du recueil des données (via une mention dans un formulaire ou une affiche en salle d’attente)
  • Limiter la communication de ces informations aux personnes autorisées dans le cadre de leurs missions, ou aux organismes de sécurité sociale
  • Conserver les données pour une durée limitée. L’Ordre des médecins recommande de conserver les dossiers médicaux durant 20 ans à compter de la dernière consultation.

 

Notez que le consentement des patients pour le recueil et le traitement des données n’est pas obligatoire puisque ces informations sont nécessaires à leur prise en charge.

Si vous exercez à titre individuel, la désignation d’un délégué n’est pas nécessaire. En revanche, la tenue du registre reste obligatoire.

 

 

Externaliser la paie vous permet de sécuriser vos bulletins de salaires et de bénéficier de notre veille règlementaire. Contactez nos équipes pour obtenir un devis personnalisé.