Le Règlement général pour la protection des données aura bientôt un an et il est encore parfois difficile d’y voir clair. Chaque semaine, NRC vous propose un guide permettant de définir des priorités et d’avancer dans la conformité sans stresser !
Le RGPD : Pourquoi cette norme ?
Le Règlement Général de Protection des Données est un règlement Européen ayant pour objectif la protection des données personnelles de chaque citoyen de l’Union Européenne partout dans le monde.
La notion de « données personnelles » est à comprendre de façon très large. La définition du règlement est la suivante : Une « donnée personnelle » s’apparente à « toute information se rapportant à une personne physique identifiée ou identifiable »
Notre monde est de plus en plus digitalisé et les données personnelles ont une valeur croissante et sont de plus en plus diffusées. Les conséquences éventuelles de leurs divulgation, modifications, vol sont également de plus en plus prégnantes.
C’est pourquoi les données personnelles qui vous sont confiées doivent être traitées avec précaution. Vous devez également vous assurer que vos partenaires les traitent avec le même soin.
RGPD : des obligations reprécisées depuis presque 1 an
Les nouvelles obligations pour toutes les entreprises
[table]
[tr][td]>[/td] [td]Expliquer l’utilisation des données personnelles et la durée de conservation
Lors de la collecte de données personnelles (numéros de téléphone, adresses mail…), vous devez préciser l’usage de ces données ainsi que la durée de conservation.[/td][/tr]
[tr][td]>[/td] [td]Obtenir un consentement explicite, éclairé et justifiable
Le consentement doit être clair (pas de consentement par défaut) et doit pouvoir être justifié.[/td][/tr]
[tr][td]>[/td] [td]Informer des risques de perte ou de vol
Si des données sont perdues ou volées (par exemple perte d’une clé USB contenant vos fichiers prospects) vous devez prévenir l’ensemble des personnes concernées.[/td][/tr]
[tr][td]>[/td] [td]Assurer le droit à l’oubli
Vous devez pouvoir effacer en cas de demande les données personnelles, et informer vos interlocuteurs de la manière de procéder.[/td][/tr]
[tr][td]>[/td] [td]Assurer l’accès aux données et leur portabilité
Vous devez pourvoir fournir aux personnes leurs données sous un format exploitable.[/td][/tr]
[tr][td]>[/td] [td]Assumer et partager la responsabilité avec ses sous-traitants et prestataires
Si des données personnelles sont confiés à des sous-traitants (ex : fichiers de paie pour test), vous partagez la responsabilité des données exploitées par ces derniers.[/td][/tr]
[tr][td]>[/td] [td]Assurer le droit à l’ « opt-out »
Les personnes doivent pouvoir de façon simple sortir de vos listes de communication.[/td][/tr]
[/table]
Les nouvelles obligations pour certains cas particuliers
[table]
[tr][td]>[/td] [td]Nomination d’un DPO
Pour toutes les entreprises qui traitent des données personnelles en masse ou sensibles (santé, finance…).[/td][/tr]
[tr][td]>[/td] [td]Tenue d’un registre des traitements
Pour les entreprises de plus de 250 salariés, la tenue d’un registre des traitements est obligatoire. Pour les plus petites entreprises, elle est limitée aux traitements de données sensibles, le plus souvent les données des collaborateurs.[/td][/tr]
[tr][td]>[/td] [td]Autorisation de la CNIL pour le transfert des données hors U.E.
utorisation nécessaire si les données sont exportées dans un pays considéré comme non sécurisé (liste sur le site de la CNIL).[/td][/tr]
[tr][td]>[/td] [td]Traitement humain des décisions issues d’un profilage
Si des décisions sont issues d’un traitement automatique (ex : scoring de crédit) elles doivent pouvoir être expliquées et faire l’objet d’une analyse humaine.[/td][/tr]
[/table]
VOUS N’ÊTES PAS CONFORME AU RGPD SI …
-
Vous n’avez pas prévenu vos collaborateurs si vous ou l’un de vos prestataires s’est fait voler son ordinateur portable contenant des données RH.
-
Vous organisez des e-mailings avec des listes d’adresses obtenues sans le consentement éclairé des personnes.
-
Vous confiez des données personnelles à des prestataires sans avoir vérifié leur respect du RGPD.
-
Vous utilisez un système informatique de RH (gestion des absences, congés…) sans avoir établi de registre de traitement pour ces données.
-
Le CV d’un(e) potentiel(le) futur(e) collaborateur/trice fait le tour de tous les services de l’entreprise sans réelle justification.
-
Vous échangez par mail (par principe non protégé) en faisant mention de données confidentielles relatives à un client ou un collaborateur.
Les sanctions vont de l’avertissement à l’amende (jusque 20 millions d’euro ou 4% du CA pour les cas les plus graves).
Lisez l’EPISODE 2
Auteur : François Gervais, gérant du cabinet Vert et Bleu Conseil.
Vous souhaitez en savoir davantage et obtenir toutes nos infos et invitations aux événements dédiés au RGPD ? Cliquez ici