Comment appliquer le RGPD dans une entreprise ?

Les entreprises qui collectent et traitent les données personnelles d'un citoyen européen doivent respecter les obligations mises en place par le RGPD.

1Úre étape : Identifier les données personnelles collectées

Le RGPD s'applique dĂšs lors qu'une entreprise collecte et traite des informations permettant d'identifier une personne physique directement ou indirectement (exemple : site de ecommerce).

Les informations collectĂ©es peuvent ĂȘtre :

  • nom, prĂ©nom
  • adresse email ou postale
  • carte de paiement
  • numĂ©ro de tĂ©lĂ©phone
  • adresse IP
  • identifiant (numĂ©ro client par exemple)
  • numĂ©ro de sĂ©curitĂ© sociale
  • photo d'un visage
  • vidĂ©o montrant une personne
  • etc.

Les données à caractÚre public comme le chiffre d'affaires, l'adresse du siÚge social ou l'effectif sont, en revanche, ne sont pas concernées par le rÚglement général sur la protection des données.

2Úme étape : Recenser l'ensemble des traitements de données

L'entreprise doit identifier parmi ses activitĂ©s celles qui nĂ©cessitent la collecte et le traitement de donnĂ©es personnelles, telles que le recrutement, la gestion de la paie, la formation, la gestion du fichier des clients, des fournisseurs ou encore les enquĂȘtes statistiques.

Constitue un traitement de données :

  • une collecte de donnĂ©es personnelles via une fiche de renseignements, un bordereau d'inscription, un questionnaire, un formulaire de contact, un formulaire d'inscription Ă  une newsletter
 ;
  • l'enregistrement d'une base de donnĂ©es, d'un fichier clients par exemple
 ;
  • la mise Ă  jour d'un fichier fournisseurs ;
  • la mise en place d'un systĂšme de vidĂ©osurveillance


Chaque activitĂ© doit ĂȘtre rĂ©pertoriĂ©e dans le registre des traitements de donnĂ©es. Il s'agit d'un document relatant l'ensemble du dĂ©tail de traitement des donnĂ©es au sein de l'entreprise.

A noter : lorsque l'entreprise est un sous-traitant (prestataire de services informatiques, agence de marketing ou de communication...) , elle est tenue de tenir un second registre : le registre du sous-traitant.

3Úme étape : Remplir une fiche de registre pour chaque traitement de données

Pour chaque activité ou traitement de données, l'entreprise doit remplir une fiche de registre, c'est-à-dire un formulaire précisant :

  • l'activitĂ© pour laquelle l'entreprise collecte des donnĂ©es (gestion des fournisseurs, gestion des salariĂ©s, vente en ligne),
  • la catĂ©gorie de donnĂ©es personnelles collectĂ©es (nom, numĂ©ro de tĂ©lĂ©phone, donnĂ©e de localisation etc.),
  • le ou les objectifs poursuivis par ce traitement (remboursement des frais, enquĂȘte de satisfaction, gestion des recrutements, etc.),
  • la durĂ©e pendant laquelle les donnĂ©es sont conservĂ©es,
  • les acteurs internes ou externes qui traitent ces donnĂ©es,
  • les personnes ayant accĂšs aux donnĂ©es, autrement dit les destinataires (service RH, service informatique, direction, prestataires).

Pour faciliter la tenue du registre, la CNIL propose un modÚle de registre de base destiné à répondre aux besoins les plus courants en matiÚre de traitements de données.

Entreprises de moins de 250 salariés

Les entreprises de moins de 250 salariés ne doivent inscrire sur ce registre que les traitements suivants :

  • les traitements non occasionnels : gestion de la paie, fichiers clients, fichiers fournisseurs
 ;
  • les traitements susceptibles de comporter un risque pour les droits et libertĂ©s des personnes : vidĂ©osurveillance, systĂšmes de gĂ©olocalisation
 ;
  • les traitements qui portent sur des donnĂ©es sensibles (origine raciale ou ethnique, santĂ©, orientation sexuelle, opinions politiques, religieuses ou philosophiques, appartenance syndicale...);

4Úme étape : Examiner les données collectées

Pour chaque fiche de registre, l'entreprise doit vérifier :

  • que seules les donnĂ©es strictement nĂ©cessaires Ă  la poursuite de ses objectifs sont collectĂ©es et traitĂ©es ;
  • que l'entreprise ne traite aucune donnĂ©e dite « sensible » ou, si c'est le cas, qu'elle a bien le droit de les traiter ;
  • que seules les personnes habilitĂ©es ont accĂšs aux donnĂ©es dont elles ont besoin ;
  • que l'entreprise ne conserve pas les donnĂ©es au-delĂ  de la durĂ©e nĂ©cessaire.

Il peut par exemple s'agir de minimiser la collecte de données en éliminant des formulaires d'inscription et des bases de données toutes les informations inutiles. Il convient également de définir précisément les personnes de l'entreprise qui doivent pouvoir accéder aux données et de mettre en place des rÚgles automatiques d'effacement ou d'archivage des données au bout d'un certain temps.

L'entreprise doit également s'assurer que toutes les informations figurant sur le support qui collecte les données personnelles sont conformes au RGPD, notamment les modalités d'exercice des droits des personnes concernées (droit d'accÚs, de rectification, droit à la portabilité, retrait du consentement...).

La CNIL a publié plusieurs référentiels pour accompagner les entreprises dans leur mise en conformité avec le RGPD dans le cadre de leurs activités. Ils ne sont pas obligatoires.

5Úme étape : Vérifier que le support qui collecte les données contient les mentions obligatoires

Il est indispensable d'informer et d'obtenir le consentement des personnes lors de la collecte de toute donnée les concernant.

Chaque personne doit ĂȘtre informĂ©e en amont de l'usage de ses donnĂ©es et doit donner son accord pour leur traitement et/ou pouvoir s'y opposer. Ce consentement doit ĂȘtre documentĂ© et tracĂ©. Le responsable de traitement doit toujours ĂȘtre en mesure de prouver qu'il a bien Ă©tĂ© donnĂ©.

Il n'y a pas de consentement en cas de silence, de case cochée par défaut ou d'inactivité. Le consentement doit s'exprimer par un acte positif clair. En outre, une personne qui a accepté que ses données soient collectées doit pouvoir retirer son consentement aussi aisément qu'elle l'a donné.

Il n'y a pas de formulaire ou de mentions type pour le recueil des donnĂ©es personnelles ; les mentions doivent ĂȘtre adaptĂ©es aux objectifs du traitement et Ă  l'usage qui sera fait des donnĂ©es.

Information des personnes

Le support utilisé (formulaire, questionnaire, etc.) doit comporter des mentions obligatoires répondant notamment aux questions suivantes :

  • Pourquoi l'entreprise collecte-t-elle ces donnĂ©es ?
  • Qu'est-ce qui autorise l'entreprise Ă  traiter ces donnĂ©es (consentement de la personne concernĂ©e, respect d'une obligation lĂ©gale ou intĂ©rĂȘt lĂ©gitime de l'entreprise) ?
  • Qui a accĂšs aux donnĂ©es collectĂ©es ?
  • Combien de temps l'entreprise conserve-t-elle les donnĂ©es ?
  • Comment les personnes concernĂ©es peuvent-elles exercer leurs droits (par un message sur une adresse e-mail dĂ©diĂ©e, par un courrier postal, etc.) ?
  • L'entreprise transfĂšre-t-elle des donnĂ©es hors de l'Union europĂ©enne ? Si oui, il faut prĂ©ciser le pays et l'encadrement juridique qui maintient le niveau de protection des donnĂ©es (dĂ©cision d'adĂ©quation de la Commission europĂ©enne, rĂšgles d’entreprise contraignantes dĂ©finissant une politique de protection des donnĂ©es intra-groupe, dispositions contractuelles spĂ©cifiques...).

Brexit et RGPD : les transferts de données personnelles vers le Royaume-Uni autorisés

Les transferts de donnĂ©es personnelles vers des pays situĂ©s en dehors de l’Union europĂ©enne (UE) ou de l’Espace Ă©conomique europĂ©en (EEE) ne peuvent ĂȘtre effectuĂ©s que si le niveau de protection de ces donnĂ©es est suffisant et appropriĂ©.

A l’occasion du Brexit, la Commission europĂ©enne vient de rendre des dĂ©cisions d’adĂ©quation permettant de valider ces transferts en estimant notamment que le systĂšme de protection des donnĂ©es britannique actuel est fondĂ© sur les mĂȘmes rĂšgles que celles qui s’appliquaient lorsque le Royaume-Uni Ă©tait membre de l’UE.

Ces dĂ©cisions ne sont cependant valables que pendant 4 ans. A l’expiration de ce dĂ©lai, les constats d’adĂ©quation ne pourront ĂȘtre renouvelĂ©s que si le Royaume-Uni continue d’assurer un niveau de protection des donnĂ©es personnelles Ă©quivalent Ă  celui garanti par la rĂ©glementation de l’UE.

Des exemples de mentions sont disponibles sur le site Internet de la CNIL.

Il n'est pas obligatoire de faire figurer directement toutes ces informations sur les bulletins d'inscription. L'entreprise peut aussi renvoyer à une politique de confidentialité ou une page « vie privée » sur son site Internet.

Demande de consentement

Le support doit comporter un texte de demande de consentement :
□ Je donne mon consentement au recueil et au traitement des donnĂ©es me concernant

Si l'entreprise envisage de communiquer les données personnelles de la personne à des tiers, il faut également recueillir son consentement :
" Acceptez-vous que vos coordonnées soient transmises à notre partenaire, l'entreprise « Y » ? "
□ Oui
□ Non

Il faut également préciser les conditions d'utilisation des données personnelles :
" En vous inscrivant, vous acceptez que l'entreprise X mémorise et utilise vos données personnelles collectées dans ce formulaire dans le but d'améliorer votre expérience et vos interactions avec ses services. En l'occurrence, vous autorisez l'entreprise X à communiquer occasionnellement avec vous s'il le juge opportun afin de vous informer des derniÚres actualités de notre entreprise, ses actions et ses appels aux dons, via les coordonnées collectées dans le formulaire.
" Afin de protéger la confidentialité de vos données personnelles, l'entreprise X s'engage à ne pas divulguer, ne pas transmettre ni partager vos données personnelles avec d'autres entités, entreprises ou organismes quels qu'il soient, conformément au RÚglement Général de Protection des Données (RGPD 2018) sur la protection des données personnelles. "
" Pour connaitre et exercer vos droits, notamment de retrait de consentement à l'utilisation de vos données collectées par ce formulaire, veuillez consulter notre POLITIQUE DE PROTECTION DES DONNEES PERSONNELLES sur notre site : www.entreprisex.fr "

6Úme étape : Sécuriser les données collectées

L'entreprise est tenu à une obligation légale d'assurer la sécurité des données personnelles qu'elle détient. Elle doit donc penser à mettre réguliÚrement à jour ses logiciels et antivirus, changer réguliÚrement de mots de passe, etc.

Une analyse d'impact doit obligatoirement ĂȘtre menĂ©e quand le traitement est susceptible d'engendrer un risque Ă©levĂ© pour les droits et libertĂ©s des personnes concernĂ©es :

  • Soit le traitement envisagĂ© figure dans la liste des types d'opĂ©rations de traitement pour lesquelles la CNIL impose la rĂ©alisation d'une analyse d'impact.
  • Soit le traitement remplit au moins 2 des 9 critĂšres ci-dessous :
    - Ă©valuation/scoring (y compris le profilage)
    - décision automatique avec effet légal ou similaire ;
    - surveillance systématique ;
    - collecte de données sensibles ou données à caractÚre hautement personnel ;
    - collecte de données personnelles à large échelle ;
    - croisement de données ;
    - personnes vulnérables (patients, personnes ùgées, enfants, etc.) ;
    - usage innovant (utilisation d'une nouvelle technologie) ;
    - exclusion du bénéfice d'un droit/contrat.

Dans le domaine des ressources humaines, sont ainsi visés :

  • les traitements Ă©tablissant des profils de personnes physiques Ă  des fins de gestion des ressources humaines ;
  • les traitements ayant pour finalitĂ© de surveiller de maniĂšre constante l'activitĂ© des employĂ©s concernĂ©s ;
  • les traitements ayant pour finalitĂ© la gestion des alertes et des signalements en matiĂšre professionnelle.

L'Ă©tude d'impact a pour but d'Ă©valuer les risques inhĂ©rents au traitement de donnĂ©es personnelles et de dĂ©terminer les mesures Ă  mettre en Ɠuvre pour attĂ©nuer les risques identifiĂ©s.

Cette analyse doit ĂȘtre effectuĂ©e avant la collecte des donnĂ©es, c'est-Ă -dire dĂšs la conception des produits ou des outils, et en concertation avec le dĂ©lĂ©guĂ© Ă  la protection des donnĂ©es.

L'analyse d'impact n'a pas l'obligation d'ĂȘtre publiĂ©e mais elle doit ĂȘtre transmise Ă  la CNIL s'il apparaĂźt que le niveau de risque rĂ©siduel reste Ă©levĂ© (cas oĂč la CNIL doit ĂȘtre consultĂ©) ou en cas de demande de la CNIL.

7Úme étape : Signaler la violation de données personnelles à la CNIL

Sauf cas exceptionnels, toute violation de donnĂ©es personnelles doit ĂȘtre notifiĂ©e Ă  la CNIL sous 72h.

Cela vise les violations de sécurité entraßnant, de maniÚre accidentelle ou non, la destruction, la perte, l'altération, la divulgation non autorisée des données personnelles ou leur accÚs non autorisé.