RGPD
 

 

 

Le traitement des données personnelles représente d’énormes enjeux en termes juridique et économique. En effet, avec l’avènement du big data les données personnelles sont devenues le nouvel or noir. Depuis 2018 et à l’échelle européenne, ce domaine sensible est donc encadré par le RGPD : le Règlement Général de la Protection des Données. À quoi sert le RGPD concrètement ? Quelles sont vos obligations légales en matière de RGPD ? WE PAIE vous partage tout ce que vous devez savoir pour mettre votre entreprise en conformité avec le RGPD.

 

 

Qu’est-ce que le RGPD ?

Définition du Règlement Général sur la Protection des Données

À l’heure où les échanges de données sont internationaux et quasi instantanés, le RGPD a vocation à harmoniser les règles au niveau européen. Il s’applique donc à l’ensemble des pays membres de l’Union européenne. Les données personnelles étant devenues un enjeu incontournable pour de nombreux acteurs économiques et politiques, le RGPD a plusieurs objectifs :

  • Renforcer les droits des personnes
  • Responsabiliser les acteurs responsables du traitement de données
  • Crédibiliser la régulation.

Concrètement, le RGPD s’attache à définir les règles en matière d’enregistrement et de traitement des données personnelles, quel que soit le support (papier ou informatique).

 

Quels sont les grands principes du RGPD ?

Afin de mieux protéger les données, et donc la vie privée des personnes concernées, le RGPD suit plusieurs principes :

  • La finalité : pour enregistrer et utiliser des informations, il est nécessaire d’avoir un but précis, légal et légitime
  • La proportionnalité et la pertinence au regard de la finalité
  • La durée de conservation limitée : il faut fixer une durée précise en fonction du type d’informations et de la finalité
  • La sécurité et la confidentialité des informations détenues, en limitant leur accès
  • Le respect des droits des personnes dont les données sont enregistrées
  • Le consentement au traitement des données
  • La transparence : les activités de traitement doivent être archivées et accessibles aux utilisateurs concernés et aux autorités de contrôle.

 

 

Protection des données personnelles : de quoi parle-t-on ?

Les informations personnelles

Une donnée personnelle, c’est une information qui se rapporte à une personne physique identifiée ou identifiable. En sachant qu’une personne peut être :

  • Identifiée directement (nom) ou indirectement (numéro de téléphone, donnée biométrique…)
  • Identifiable à partir d’une seule donnée (ADN, numéro de sécurité sociale…) ou de plusieurs données croisées (sexe, âge, comportement d’achat…)

Il s’agit donc d’une notion très large qui concerne toutes les entreprises, dès lors qu’elles traitent des informations liées à leurs prospects ou à leurs clients par exemple.

 

Les données sensibles

Les données sensibles sont celles qui sont relatives à :

  • La prétendue origine raciale ou ethnique
  • Les opinions politiques
  • Les convictions religieuses, philosophiques
  • L’appartenance syndicale
  • La santé
  • La vie sexuelle ou l’orientation sexuelle d’une personne physique

Et les données biométriques.

À savoir que le recueil ou l’utilisation des données sensibles est interdit par le RGPD, sauf exceptions. Notamment si la personne concernée a rendu ces informations publiques ou qu’elle a donné son consentement exprès.

 

Quels sont les droits des personnes dont les données sont collectées ?

Toute personne dont les données sont collectées dispose de plusieurs droits :

  • Le droit à l’information, préalablement à la collecte des données
  • Le droit de consentir librement et explicitement
  • Le droit d’opposition au traitement ou à la réutilisation des données
  • Les droits d’accès et de rectification
  • Le droit à la portabilité, consistant à pouvoir recevoir les données la concernant pour les transmettre à un autre tiers responsable du traitement.

 

 

Qui est tenu de respecter le RGPD ?

Toutes les entreprises qui traitent des données à caractère personnel doivent respecter le RGPD :

  • Quelle que soit leur implantation géographique : le RGPD s’applique dès lors qu’un résident européen est directement visé par une collecte ou un traitement de données
  • Quelle que soit leur forme : entreprises, administrations, associations…
  • Quel que soit le lieu de traitement des données

 

RGPD pour les PME : quels aménagements ?

Le RGPD s’impose à toutes les entreprises qui traitent des données personnelles, y compris les petites entreprises. Cependant, les entreprises comptant moins de 250 salariés bénéficient de formalités allégées.

 

RGPD : quelles sont les obligations du sous-traitant ?

Dans de nombreux cas, les données ne sont pas exploitées par l’entreprise, mais par un sous-traitant : un prestataire informatique, un intégrateur de logiciel, une agence de communication, etc. Or, le RGPD souligne que les sous-traitants sont soumis aux mêmes obligations que les autres organismes, et doivent en plus conseiller leurs clients dans la mise en œuvre de leurs propres obligations.

 

 

Quelles sont vos obligations pour être en conformité avec le RGPD ?

Le registre RGPD

Le RGPD vous impose de tenir un registre, permettant de retracer l’ensemble des activités de traitement des données et d’identifier précisément :

  • Les parties prenantes intervenant dans le traitement des données
  • Les catégories de données
  • Leur utilité pour votre entreprise
  • Les personnes qui peuvent y accéder et à qui elles sont communiquées
  • Leur temps de conservation
  • Leur mode de sécurisation.

Pour vous aider, vous pouvez utiliser le modèle mis à disposition par la CNIL.

Si votre entreprise compte moins de 250 salariés, vous bénéficiez d’un allègement : le registre se limite à enregistrer :

  • Les traitements non occasionnels
  • Les traitements pouvant comporter un risque pour les droits et libertés des personnes
  • Les traitements qui portent sur des données sensibles.

Dans tous les cas, le registre doit être archivé et consultable en cas de contrôle.

 

 

Quelles sont les autres obligations que l’on doit respecter lorsque l’on manipule des données personnelles ?

Pour être conforme au RGPD, votre entreprise doit aussi :

  • Respecter l’obligation générale de sécurité et de confidentialité : en sécurisant les systèmes d’information et en contrôlant l’accès aux fichiers contenant les données
  • Respecter l’obligation d’information vis-à-vis des personnes dont les données sont collectées : en mentionnant le responsable du fichier, la finalité du traitement des données, les droits d’accès…
  • Réaliser une analyse d’impact sur la vie privée : afin d’évaluer les risques sur les droits et personnes liés au traitement des données, la CNIL devant être informée en cas de risque élevé.

Certaines entités doivent également désigner un délégué à la protection des données (DPO), chargé de contrôler la conformité au RGPD. Il s’agit des organismes du secteur public et des entreprises dont l’activité principale implique le suivi régulier et systématique de personnes à grande échelle, ou le traitement à grande échelle de données sensibles.

 

 

Santé : un cas particulier

Certaines entreprises sont amenées à traiter les données de santé, en particulier les professionnels de santé. Pour garantir la conformité au RGPD, il convient de suivre plusieurs règles :

  • Collecter uniquement des données adéquates, pertinentes et limitées aux nécessités de prise en charge du patient
  • Informer les patients du traitement des données entrepris, sous la forme d’une affiche par exemple
  • Conserver les données pour une durée limitée. On peut se baser sur 20 ans à compter de la dernière consultation, qui est la durée préconisée pour la conservation des dossiers médicaux
  • Limiter l’accès aux données des patients : en interne, seules les personnes autorisées au regard de leur mission doivent pouvoir les consulter. En externe, il s’agira principalement des organismes de Sécurité sociale
  • Mettre en place des mesures de sécurité pour garantir la confidentialité des données, tant au niveau technique qu’organisationnel (exemples : personnalisation du mot de passe, utilisation d’un système de chiffrement…)
  • Tenir et conserver un registre des activités de traitement.

Bon à savoir : étant donné que le traitement des données est nécessaire à la prise en charge, il n’est pas obligatoire de recueillir le consentement des patients.

 

 

Quelles obligations respecter pour un site internet conforme au RGPD ?

La politique de confidentialité

Votre site Internet doit comporter un lien vers votre politique de confidentialité. Ce document vous permet de formaliser vos engagements pris en matière de protection des données, et de remplir votre obligation d’information des utilisateurs.

En effet, la consultation d’un site Internet ou le téléchargement d’une application font très souvent l’objet d’un suivi par le biais de « cookies » ou traceurs, permettant de tracer la navigation des internautes. Pour que votre site soit conforme au RGPD, l’utilisateur doit être informé de l’existence des cookies, et avoir la possibilité de consentir de façon explicite à leur utilisation. Il doit également pouvoir retirer son consentement à tout moment.

La plupart des sites utilisent des bandeaux ou des fenêtre pop-up, permettant à la fois d’informer et de recueillir le consentement de l’internaute.

 

Des formulaires de contact conformes au RGPD

Les formulaires vous permettent de recueillir des informations mais aussi de finaliser certaines opérations en ligne. Pour qu’un formulaire soit conforme, il doit permettre le consentement actif et positif. En conséquence, les cases du type « j’accepte que mes données soient traitées » ne doivent pas être cochées par défaut.

 

 

Quelles autorités assurent la protection des données personnelles en France ?

Le rôle de la CNIL

En France, la CNIL a pour mission de veiller à la protection des données personnelles contenus dans les fichiers et les traitements aussi bien informatiques que papiers. Son rôle est tout d’abord normatif : elle publie régulièrement sur son site des directives et des guides pratiques pour accompagner les entreprises.

La CNIL est également habilitée à mettre en œuvre des contrôles, au sein de tout organisme traitant des données personnelles, et disposant d’un établissement en France ou concernant des personnes résidant en France. Ces vérifications sont organisées dans le cadre d’un programme annuel de contrôle, mais peuvent aussi intervenir à la suite d’une plainte ou d’un signalement.

 

Les sanctions en cas de non respect du RGPD

Si la CNIL constate des manquements au RGPD, elle dispose de plusieurs moyens de sensibilisation et de sanction :

  • Le rappel à l’ordre
  • L’injonction de mise en conformité
  • La limitation du traitement des données, temporaire ou définitif
  • La suspension du flux de données
  • L’ordre de satisfaire aux demandes d’exercice des droits des personnes
  • La notification d’une amende administrative.

En sachant que le RGPD prévoit des sanctions financières pouvant aller jusqu’à 4 % du chiffre d’affaires annuel mondial d’une entreprise.

 

 

L’essentiel à retenir

A partir du moment où vous collectez ou traitez des données personnelles, vous devez respecter les obligations du RGPD. Il faut notamment informer les personnes concernées et tenir un registre, pour lequel les entreprises de moins de 250 salariés bénéficient d’un formalisme allégé.

 

 

Externaliser la paie vous permet de sécuriser vos bulletins de salaires et de bénéficier de notre veille règlementaire. Contactez nos équipes dès maintennant pour obtenir un devis personnalisé !