ETES-VOUS EN CONFORMITE AVEC LE RGPD ?

Le Règlement Général pour la Protection des Données n°2016/679 (RGPD) est un règlement communautaire entré en vigueur en mai 2018 et qui définit les règles applicables aux traitements de données à caractère personnel au sein de l’Union Européenne.

Ce règlement est ainsi applicable dans l’Union Européenne et donc en France depuis 4 ans et toutes les entreprises doivent à présent être en conformité avec ce règlement, sous peine d’encourir des sanctions.

Cela n’est manifestement pas le cas.

Pour mémoire, le non-respect des dispositions de ce règlement est assorties d’amendes administratives prononcées par la Commission Nationale Informatique et Libertés, pouvant atteindre :

  • 10.000.000 € pour une personne physique et 2% du chiffe d’affaires annuel mondial pour une entreprise,

  • ces plafonds étant portés à 20.000.000 € et 4% du chiffre d’affaires mondial (article 83 du RGPD), en cas de violation des principes de base d’un traitement de données à caractère personnel ou des doits conférés aux personnes qui font l’objet de ce traitement.,

Des sanctions pénales peuvent en outre être prononcée par un juge, à savoir 5 ans d’emprisonnement et 300.000 € d’amende pour une personne physique (articles 226-16 et suivants du Code pénal, amende portée à 1.500.000 € pour une personne morale (article 131-38 du Code Pénal).

« Nul n’est censé ignorer la loi » et il appartient donc à toute entreprise de prendre les mesures requises pour assurer la licéité de ses traitements de données à caractère personnel au regard du RGPD.

1. Qu’est-ce qu’une donnée à caractère personnel, un traitement ?

Tout traitement de DCP effectué pour le compte d’une personne physique ou morale établie dans l’Union Européenne relève du RGPD, à l’exception du traitement effectué par une personne physique « dans le cadre d’une activité strictement personnelle ou domestique ».

Sous cette réserve, tout traitement de DCP - automatisé ou non (tel un carnet d’adresses sous format papier) – sera soumis au RGPD, comme, notamment la gestion des salariés (aspect administratif, rémunération), le recrutement du personnel, des badges d’accès aux locaux, du remboursement de frais des employés, des fournitures de bureau, des ordinateurs et téléphones attribués au personnel, l’activité du comité social et économique, des prospects et des clients (dès lors que des DCP seront traitées)…

DES LORS, VOUS DEVEZ VERIFIER LES POINTS SUIVANTS :

2. Vos traitements respectent-ils les principes du RGPD et sont-ils licites ?

Tout traitement de DCP doit respecter un ensemble de « principes » fondamentaux :

  • les DCP doivent être traitées de façon « licite, loyale et transparente » vis-à-vis des personnes concernées,

  • les finalités du traitement doivent être « déterminées, explicites et légitimes »,

  • les DCP collectées doivent être « adéquates, pertinentes et limitées », à savoir que ces données doivent être nécessaires au regard des finalités du traitement.

La licéité exige que le traitement de DCP repose sur un fondement juridique valable, comme par exemple le consentement de la personne dont les DCP sont collectées ou l’exécution d’un contrat qui la lie au responsable de traitement.

3. Avez-vous mis en place un registre des activités de traitement de DCP ?

Ceci est une formalité obligatoire si

  • votre organisme comporte au moins 250 employés, ou

  • votre organisme comporte moins de 250 employés, mais effectue des traitements de DCP

  • qui ne sont pas occasionnels : ce qui sera le cas de la gestion de la paie, par exemple,

  • ou qui sont susceptibles de générer un risque pour les droits et libertés des personnes concernées (ce qui ne sera généralement pas le cas),

  • ou qui portent sur des DCP dites « sensibles » (telles que, notamment, l’origine ethnique, les données de santé, les convictions politiques, l’appartenance syndicale…), des infractions ou condamnations pénales (ce type de traitement est soumis à des restrictions particulières)

4. Devez-vous désigner un délégué à la protection des données personnelles (DPD ou DPO/Data Protection Officer) ?

Ceci est une formalité obligatoire

  • pour les traitements effectués par une autorité publique ou un organisme public (sauf les juridictions pour leur fonction juridictionnelle) ?

  • si les activités de base du responsable « consistent en des opérations de traitement qui du fait de leur nature, portée ou finalité exigent un suivi régulier et systématique à grande échelle des personnes concernées »,

  • si les activités de base du responsable « consistent en un traitement à grande échelle des données sensibles et données relatives à des infractions et condamnations pénales ».

A défaut, la désignation d’un DPO reste facultative, mais elle peut être utile si vous devez gérer plusieurs traitements, sachant que chacun d’eux doit être conforme au RGPD, ce qui exige une forte implication.

Le DPO peut être un salarié de votre structure ou un prestataire externe.

5. Quels sont les points d’attention dans la gestion de votre dispositif RGPD ?

  • Information détaillée à l'attention des personnes dont les DCP sont collectées ;

  • Assurer de bonnes conditions d’exercice des droits conférés par le RGPD aux personnes dont les DCP sont collectées ;

  • Prendre des mesures de sécurité proportionnées aux risques de violation des DCP ;

  • Réagir de façon appropriée face à une violation de DCP ;

  • Démontrer sa conformité au RGPD en toutes circonstances.

* * *

Afin de vérifier votre conformité au RGPD, je peux vous assister en ma qualité d’avocat et de DPO certifié par l’AFNOR, au moyen de prestations adaptées à vos besoins:

  • Audit de vos traitements existants pour en vérifier la conformité et, le cas échéant, définition en accord avec vous des actions à mener pour assurer la mise en conformité ;

  • Mise en place d’un registre d’activités de traitement ;

  • Définition de l’information à communiquer aux personnes dont les DCP sont collectées ;

  • Mise en place d’une charte de protection des DCP (également dénommée « politique de confidentialité ») sur votre site web, si ce n’est fait;

  • Gestion de l’exercice des droits des personnes concernées : enregistrement des demandes d’exercice, et consignation des réponses apportées ainsi que des mesures prises ;

  • Evaluation des mesures de sécurité des DCP et, le cas échéant, renforcement de celles-ci afin qu’elles soient appropriées aux risques de violation des DCP concernées ;

  • Définition de la politique de sensibilisation du personnel à la protection des DCP.

Vous pouvez également me désigner en qualité de DPO externe s’il y a lieu.

N’hésitez pas à me contacter (lien ci-dessous) pour obtenir toute information complémentaire et/ou un devis.