RGPD

RGPD que faire ?

Date de mise à jour : 06/02/2024

Mot(s) clé(s) :

La protection des données personnelles

Elle concerne toute information concernant une personne physique identifiée ou identifiable (« personne concernée »).

Est réputée identifiable une personne qui peut être identifiée directement ou indirectement, notamment par référence à un identifiant, par exemple un nom, un numéro d’identification, des données de localisation, ou un identifiant en ligne, ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

Sont donc concernées au sein des organisations, toute opération automatisée ou non appliquée à des données à caractère personnel, telles que la collecte, l’enregistrement, la conservation, la consultation, l’utilisation, la diffusion… :

  • Données d’identification (Etat civil, identité, données d’identification, images…)
  • Données comportementales (situation familiale, appartenance syndicale, données concernant la santé, données relatives à un extrait du casier judiciaire, numéro SS etc. données concernant une religion etc…)
  • Données d’ordre économique et financières (IBAN, N° carte bancaire, revenus, situation financière, situation fiscale avec le PAS, etc.)
  • Données de connexion (adresse IP, logs, etc.)
  • Données de localisation (déplacements, données GPS, GSM, etc.)

Les acteurs dans l’entreprise

  • Les salariés
  • Les sous-traitants
  • Les prestataires informatiques

Comment se mettre en conformité avec le RGPD ?

Les données à caractère personnel doivent être :

  • traitées de manière licite, loyale et transparente au regard de la personne concernée ;
  • collectées pour des finalités déterminées, explicites et légitimes ;
  • adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées ;
  • exactes et tenues à jour ;
    conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ;
  • traitées de façon à garantir une sécurité appropriée des données à caractère personnel (intégrité et confidentialité).

Les différentes actions à mener en pratique :

1. désigner un pilote c’est à dire un délégué à la protection des données (DPO)

Le délégué peut être désigné en interne parmi les salariés de l’entreprise ou en externe.
Il est chargé :

  • d’informer et de conseiller le responsable de traitement, les sous-traitants, ainsi que les employés ;
  • de contrôler le respect de la protection des données ;
  • de conseiller l’entreprise sur la réalisation d’études d’impact sur la protection des données et d’en vérifier l’exécution ;
  • de coopérer avec l’autorité de contrôle et d’être le point de contact de celle-ci.

2. recenser les fichiers

  • tenir un registre de traitement des données personnelles (recommandé pour les entreprises de moins de 250 salariés, obligatoire pour les autres)
  • identifier les activités principales de l’entreprise qui nécessitent la collecte et le traitement de données (exemples en ce qui concerne la gestion des ressources humaines : le recrutement, la gestion de la paie, la formation, les déclarations sociales obligatoires, la gestion des badges et des accès, etc.) et de répertorier pour chaque activité :
    • le responsable du traitement ;
    • l’objectif poursuivi ;
    • les catégories de données utilisées (exemple pour la paie : nom, prénom, date de naissance, salaire, etc.) ;
    • qui a accès aux données (le destinataire – exemple : service chargé du recrutement, service informatique, direction, prestataires, partenaires, hébergeurs) ;
    • la durée de conservation de ces données (durée pendant laquelle les données sont utiles d’un point de vue opérationnel et durée de conservation en archive).

3. repérer les traitements à risque

Le responsable des traitements doit prouver à tout moment que les traitements qu’il gère sont conformes à la RGPD :

3.1. quelles ont été les circonstances de collecte des données ?

    • y-a-t-il eu consentement des personnes concernées ?
    • la collecte répond-elle à des obligations particulières (collecte nécessaire au contrat, respect d’une obligation légale, par exemple le traitement de données relatives aux salariés pour les communiquer à la sécurité sociale ou l’administration fiscale…) ?

3.2. quelle a été l’information délivrée aux personnes faisant l’objet de la collecte et du traitement ?

  • celles-ci ont-elles été informées de la finalité du traitement et de leurs droits ? ;

3.3. Quelle est la nature des données collectées au regard de la finalité du traitement ?

  • seules les données strictement nécessaires au traitement peuvent être collectées et traitées.

3.4. Quelles sont les personnes habilitées à avoir accès aux données ?

  • Seules les personnes habilitées ont accès aux données dont elles ont besoin et que les données ne sont pas conservées au-delà de ce qui est nécessaire.

Certains traitements réclament une vigilance particulière :

  • L’évaluation d’une personne
  • La prise de décision automatisée
  • La surveillance systématique de personnes : télésurveillance, surveillance des réseaux sociaux des salariés, surveillance salariés, analyse des pages des réseaux sociaux des candidats à un emploi, outils de gestion du temps de présence (badge, par exemple), systèmes de géolocalisation
  • Le traitement de données sensibles (données raciales ou ethnique, portant sur les opinions politiques, philosophiques ou religieuses, relatives à l’appartenance syndicale, concernant la santé ou l’orientation sexuelle, les données génétiques ou biométriques, les données d’infraction ou de condamnation pénale)
  • Le traitement de données concernant des personnes vulnérables (exemple : mineurs)
  • L’application de nouvelles technologies (exemple : objet connecté)
  • L’exclusion du bénéfice d’un droit, d’un service ou contrat.

Si le traitement de données concerné répond à au moins 2 de ces 9 critères, la Cnil a mis en place un logiciel pour conduire une analyse d’impact : https://www.cnil.fr/fr/outil-pia-telechargez-et-installez-le-logiciel-de-la-cnil. Si son analyse présente un risque élevé, le DPO doit en informer la CNIL.

Qu’est-ce que le droit des personnes ?

Quel que soit le support de collecte utilisé (formulaire, questionnaire, etc.) celui-ci doit comporter les informations suivantes :

  • l’identité et les coordonnées du responsable du traitement et du délégué à la protection des données ;
  • les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement ;
  • les catégories de données à caractère personnel concernées  et les destinataires ou les catégories de destinataires des données à caractère personnel (service interne à l’entreprise, prestataire…) ;
  • la durée de conservation des données ;
  • les modalités selon lesquelles les intéressés peuvent exercer leurs droits ;

et la gestion des salariés ?

La Cnil préconise d’informer les salariés à chaque fois qu’il leur est demandé des informations : mises à jour de données administratives, demande de formation, formulaire d’entretien d’évaluation etc. ou lors de la mise en place d’un dispositif de surveillance, selon des modalités à déterminer selon l’organisation de l’entreprise (note de services, avenant au contrat de travail, information sur l’Intranet, courrier joint au bulletin de paie etc.)

Les droits des salariés en matière de RGPD

Les salariés ont des droits sur leurs données :

  • droit d’accès,
  • droit de rectification,
  • droit d’opposition,
  • droit d’effacement (droit à l’oubli),
  • droit à la portabilité
  • droit à la limitation du traitement.

Les moyens d’exercer effectivement leurs droits doivent donc être mis à leur disposition :

  • formulaire de contact sur un site web,
  • numéro de téléphone
  • adresse de messagerie.

La sécurisation des données, comment ?

Différentes actions doivent être mises en place :

  • mises à jour des antivirus et logiciels,
  • changement régulier des mots de passe
  • utilisation de mots de passe complexes,
  • chiffrement des données dans certaines situations.

L’entreprise victime d’une violation de données (des données personnelles ont été, de manière accidentelle ou illicite, détruites, perdues, altérées, divulguées ou il a été constaté un accès non autorisé à des données) doit le signaler à la Cnil dans les 72 heures si cette violation est susceptible de représenter un risque pour les droits et libertés des personnes concernées. Cette notification s’effectue en ligne sur le site internet de la Cnil.

Il faut aussi notifier à la ou les personnes concernées que leurs données ont été potentiellement mises en danger.

Les sanctions possibles en cas de non respect du RGPD ?

Sanctions administratives  : avertissement, mise en demeure, injonction de cesser le traitement, suspension des flux de données etc.

Amendes administratives peuvent s’élever dans le cas d’une entreprise, à 2 % jusqu’à 4 % du chiffre d’affaires annuel.

 

Winch-EasExpert-RH AppTéléchargez le guide de pratique RH

Une information RH accessible à tout moment. La promesse du guide de pratique RH est simple : offrir des outils de pilotage RH, des informations et des modes opératoires utiles pour une gestion agile de ses ressources humaines. Informer des évolutions jurisprudentielles, rendre plus accessible des règlementations qui sont complexes pour le Dirigeant de PME dont l’objectif est de développer son business, mettre à disposition des outils de pilotage et des points de vigilance.