Comment appliquer le RGPD dans une entreprise ?

Les entreprises qui collectent et traitent les données personnelles d'un citoyen européen doivent respecter les obligations mises en place par le RGPD.

1ère étape : Identifier les données personnelles collectées

Le RGPD s'applique dès lors qu'une entreprise collecte et traite des informations permettant d'identifier une personne physique directement ou indirectement.

Les informations collectées peuvent être :

  • nom, prénom
  • adresse email ou postale
  • carte de paiement
  • numéro de téléphone
  • adresse IP
  • identifiant (numéro client par exemple)
  • numéro de sécurité sociale
  • photo d'un visage
  • vidéo montrant une personne
  • etc.

Les données à caractère public comme le chiffre d'affaires, l'adresse du siège social ou l'effectif sont, en revanche, ne sont pas concernées par le règlement général sur la protection des données.

2ème étape : Recenser l'ensemble des traitements de données

L'entreprise doit identifier parmi ses activités celles qui nécessitent la collecte et le traitement de données personnelles, telles que le recrutement, la gestion de la paie, la formation, la gestion du fichier des clients, des fournisseurs ou encore les enquêtes statistiques.

Constitue un traitement de données :

  • une collecte de données personnelles via une fiche de renseignements, un bordereau d'inscription, un questionnaire, un formulaire de contact, un formulaire d'inscription à une newsletter… ;
  • l'enregistrement d'une base de données, d'un fichier clients par exemple… ;
  • la mise à jour d'un fichier fournisseurs ;
  • la mise en place d'un système de vidéosurveillance…

Chaque activité doit être répertoriée dans le registre des traitements de données. Il s'agit d'un document relatant l'ensemble du détail de traitement des données au sein de l'entreprise.

A noter : lorsque l'entreprise est un sous-traitant (prestataire de services informatiques, agence de marketing ou de communication...) , elle est tenue de tenir un second registre : le registre du sous-traitant.

3ème étape : Remplir une fiche de registre pour chaque traitement de données

Pour chaque activité ou traitement de données, l'entreprise doit remplir une fiche de registre, c'est-à-dire un formulaire précisant :

  • l'activité pour laquelle l'entreprise collecte des données (gestion des fournisseurs, gestion des salariés, vente en ligne),
  • la catégorie de données personnelles collectées (nom, numéro de téléphone, donnée de localisation etc.),
  • le ou les objectifs poursuivis par ce traitement (remboursement des frais, enquête de satisfaction, gestion des recrutements, etc.),
  • la durée pendant laquelle les données sont conservées,
  • les acteurs internes ou externes qui traitent ces données,
  • les personnes ayant accès aux données, autrement dit les destinataires (service RH, service informatique, direction, prestataires).

Pour faciliter la tenue du registre, la CNIL propose un modèle de registre de base destiné à répondre aux besoins les plus courants en matière de traitements de données.

Entreprises de moins de 250 salariés

Les entreprises de moins de 250 salariés ne doivent inscrire sur ce registre que les traitements suivants :

  • les traitements non occasionnels : gestion de la paie, fichiers clients, fichiers fournisseurs… ;
  • les traitements susceptibles de comporter un risque pour les droits et libertés des personnes : vidéosurveillance, systèmes de géolocalisation… ;
  • les traitements qui portent sur des données sensibles (origine raciale ou ethnique, santé, orientation sexuelle, opinions politiques, religieuses ou philosophiques, appartenance syndicale...);

4ème étape : Examiner les données collectées

Pour chaque fiche de registre, l'entreprise doit vérifier :

  • que seules les données strictement nécessaires à la poursuite de ses objectifs sont collectées et traitées ;
  • que l'entreprise ne traite aucune donnée dite « sensible » ou, si c'est le cas, qu'elle a bien le droit de les traiter ;
  • que seules les personnes habilitées ont accès aux données dont elles ont besoin ;
  • que l'entreprise ne conserve pas les données au-delà de la durée nécessaire.

Il peut par exemple s'agir de minimiser la collecte de données en éliminant des formulaires d'inscription et des bases de données toutes les informations inutiles. Il convient également de définir précisément les personnes de l'entreprise qui doivent pouvoir accéder aux données et de mettre en place des règles automatiques d'effacement ou d'archivage des données au bout d'un certain temps.

L'entreprise doit également s'assurer que toutes les informations figurant sur le support qui collecte les données personnelles sont conformes au RGPD, notamment les modalités d'exercice des droits des personnes concernées (droit d'accès, de rectification, droit à la portabilité, retrait du consentement...).

5ème étape : Vérifier que le support qui collecte les données contient les mentions obligatoires

Il est indispensable d'informer et d'obtenir le consentement des personnes lors de la collecte de toute donnée les concernant.

Chaque personne doit être informée en amont de l'usage de ses données et doit donner son accord pour leur traitement et/ou pouvoir s'y opposer. Ce consentement doit être documenté et tracé. Le responsable de traitement doit toujours être en mesure de prouver qu'il a bien été donné.

Il n'y a pas de consentement en cas de silence, de case cochée par défaut ou d'inactivité. Le consentement doit s'exprimer par un acte positif clair. En outre, une personne qui a accepté que ses données soient collectées doit pouvoir retirer son consentement aussi aisément qu'elle l'a donné.

Il n'y a pas de formulaire ou de mentions type pour le recueil des données personnelles ; les mentions doivent être adaptées aux objectifs du traitement et à l'usage qui sera fait des données.

Information des personnes

Le support utilisé (formulaire, questionnaire, etc.) doit comporter des mentions obligatoires répondant notamment aux questions suivantes :

  • Pourquoi l'entreprise collecte-t-elle ces données ?
  • Qu'est-ce qui autorise l'entreprise à traiter ces données (consentement de la personne concernée, respect d'une obligation légale ou intérêt légitime de l'entreprise) ?
  • Qui a accès aux données collectées ?
  • Combien de temps l'entreprise conserve-t-elle les données ?
  • Comment les personnes concernées peuvent-elles exercer leurs droits (par un message sur une adresse e-mail dédiée, par un courrier postal, etc.) ?
  • L'entreprise transfère-t-elle des données hors de l'Union européenne ? Si oui, il faut préciser le pays et l'encadrement juridique qui maintient le niveau de protection des données.

Des exemples de mentions sont disponibles sur le site Internet de la CNIL.

Il n'est pas obligatoire de faire figurer directement toutes ces informations sur les bulletins d'inscription. L'entreprise peut aussi renvoyer à une politique de confidentialité ou une page « vie privée » sur son site Internet.

Demande de consentement

Le support doit comporter un texte de demande de consentement :
□ Je donne mon consentement au recueil et au traitement des données me concernant

Si l'entreprise envisage de communiquer les données personnelles de la personne à des tiers, il faut également recueillir son consentement :
" Acceptez-vous que vos coordonnées soient transmises à notre partenaire, l'entreprise « Y » ? "
□ Oui
□ Non

Il faut également préciser les conditions d'utilisation des données personnelles :
" En vous inscrivant, vous acceptez que l'entreprise X mémorise et utilise vos données personnelles collectées dans ce formulaire dans le but d'améliorer votre expérience et vos interactions avec ses services. En l'occurrence, vous autorisez l'entreprise X à communiquer occasionnellement avec vous s'il le juge opportun afin de vous informer des dernières actualités de notre entreprise, ses actions et ses appels aux dons, via les coordonnées collectées dans le formulaire.
" Afin de protéger la confidentialité de vos données personnelles, l'entreprise X s'engage à ne pas divulguer, ne pas transmettre ni partager vos données personnelles avec d'autres entités, entreprises ou organismes quels qu'il soient, conformément au Règlement Général de Protection des Données (RGPD 2018) sur la protection des données personnelles. "
" Pour connaitre et exercer vos droits, notamment de retrait de consentement à l'utilisation de vos données collectées par ce formulaire, veuillez consulter notre POLITIQUE DE PROTECTION DES DONNEES PERSONNELLES sur notre site : www.entreprisex.fr "

6ème étape : Sécuriser les données collectées

L'entreprise est tenu à une obligation légale d'assurer la sécurité des données personnelles qu'elle détient. Elle doit donc penser à mettre régulièrement à jour ses logiciels et antivirus, changer régulièrement de mots de passe, etc.

Une analyse d'impact doit obligatoirement être menée quand le traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées :

  • Soit le traitement envisagé figure dans la liste des types d'opérations de traitement pour lesquelles la CNIL impose la réalisation d'une analyse d'impact.
  • Soit le traitement remplit au moins deux des neuf critères ci-dessous :
    - évaluation/scoring (y compris le profilage)
    - décision automatique avec effet légal ou similaire ;
    - surveillance systématique ;
    - collecte de données sensibles ou données à caractère hautement personnel ;
    - collecte de données personnelles à large échelle ;
    - croisement de données ;
    - personnes vulnérables (patients, personnes âgées, enfants, etc.) ;
    - usage innovant (utilisation d'une nouvelle technologie) ;
    - exclusion du bénéfice d'un droit/contrat.

Dans le domaine des ressources humaines, sont ainsi visés :

  • les traitements établissant des profils de personnes physiques à des fins de gestion des ressources humaines ;
  • les traitements ayant pour finalité de surveiller de manière constante l'activité des employés concernés ;
  • les traitements ayant pour finalité la gestion des alertes et des signalements en matière professionnelle.

L'étude d'impact a pour but d'évaluer les risques inhérents au traitement de données personnelles et de déterminer les mesures à mettre en œuvre pour atténuer les risques identifiés.

Cette analyse doit être effectuée avant la collecte des données, c'est-à-dire dès la conception des produits ou des outils, et en concertation avec le délégué à la protection des données.

L'analyse d'impact n'a pas l'obligation d'être publiée mais elle doit être transmise à la CNIL s'il apparait que le niveau de risque résiduel reste élevé (cas où la CNIL doit être consulté) ou en cas de demande de la CNIL.

7ème étape : Signaler la violation de données personnelles à la CNIL

Sauf cas exceptionnels, toute violation de données personnelles doit être notifiée à la CNIL sous 72h.

Cela vise les violations de sécurité entraînant, de manière accidentelle ou non, la destruction, la perte, l'altération, la divulgation non autorisée des données personnelles ou leur accès non autorisé.