Qui est concerné par la nouvelle réglementation sur la protection des données (RGPD) ?
Chaque citoyen européen a la possibilité d’imposer l’application du RGPD et de faire valoir les droits et garanties qui l’accompagnent à toute entreprise (européenne ou non) qui collecte ses données.
Par entreprise, il faut entendre Associations, TPE/PME, commerçants, professions libérales y compris médico-sociales, collectivités locales, banques, assurances, cybermarchands, fournisseurs de services, éditeurs d’applications mobiles ou de dispositifs connectés, etc.
Tous sont concernés dès lors que des traitements de données à caractère personnel sont effectués.
Le service marketing mais aussi le service RH, le chef d’entreprise gérant les données de son personnel, cela aura aussi un fort impact : depuis leur arrivée dans une entreprise jusqu’à leur départ, les salariés confient une grande quantité de données à caractère personnel qui sont collectées, traitées et stockées (un simple fichier Excel contenant des contacts constitue un traitement de données personnelles !)
Qu’est-ce qu’une donnée à caractère personnelle ?
Selon le RGPD: “Toute donnée permettant d’identifier directement ou indirectement un citoyen européen ».
Directement: Signifie accès à une fiche complète des informations sur un individu grâce à une base de données électronique, numérisée ou un document papier: une fiche de paye, un dossier médical, une fiche client, un devis, une facture.
Indirectement: accès à une donnée permettant d’identifier un citoyen européen en la croisant avec d’autres sources de données.
Par exemple : un numéro de téléphone permet de retrouver le nom et l’adresse d’un individu grâce à l’annuaire téléphonique
Alors qu’est-ce qu’une donnée à caractère personnel ? Toute donnée pouvant être rattachée, de près ou de loin, à un citoyen européen.
Dans votre entreprise, vous avez accès à beaucoup de données à caractère personnel que vous collectez, traitez. Concrètement, quelles sont ces données à caractère personnel ?
• Un nom, un prénom, une photo sur des badges d’accès au sein de l’entreprise.
• Une adresse mail qui est utilisée sur un simple moteur de recherche pour retrouver la personne concernée. (ex taper votre adresse email sur google)
• Un numéro de téléphone. Il suffit d’un annuaire téléphonique pour retrouver les informations sur le citoyen européen.
• Un CV, une candidature, que vous recevez par la poste ou sur votre messagerie. Si vous les laissez accessibles sur votre bureau, ce sont des données directement accessibles à tous ou votre PC peut être hacké.
• Une fiche de paye d’un salarié
• Le carnet d’adresses professionnelles, (certains contacts clients répertoriés ne veulent peut-être pas que l’on sache qu’ils travaillent avec vous.
• Des images de vidéosurveillance. Toutes les images enregistrées par les caméras de vidéosurveillance dans l’enceinte de l’entreprise sont des données à caractère personnel.
• Un numéro de sécurité sociale avec des données sensibles de patient pourrait donner accès à un dossier médical
• Une plaque d’immatriculation avec nom et à l’adresse du titulaire de la carte grise permet de l’identifier.
• Une adresse IP, que l’on enregistre sur les serveurs lors de la connexion de votre site internet. Cette donnée permet de remonter jusqu’à l’adresse de l’utilisateur en passant par le fichier de l’opérateur.
Qu’est ce qu’un traitement de données à caractère personnel ?
Selon le RGPD “tout ensemble structuré de données accessibles selon des critères déterminés constituent un fichier de données à caractère personnel.”
Le traitement de données n’est pas exclusivement électronique
Un nom, un prénom inscrit sur une feuille de papier, rangée dans un dossier ou dans un dossier suspendu est un traitement de données.
La notion est donc très vaste et résulte de l’action la plus simple : le traitement est toute action sur la donnée à caractère personnel d’un individu européen. Les données professionnelles sont aussi des données à caractère personnel.
Toutes les informations que vous récoltez et que vous structurez correctement, constituent un fichier de données à caractère personnel.
Les cartes de visite d’autres professionnels que vous collectez sur les salons, les rendez-vous contiennent des données à caractère personnel. Si vous les jetez en vrac dans une boîte à chaussures, cela ne constitue pas un fichier de données à caractère personnel. En revanche si vous les rangez dans un porte-cartes de manière structurée par ordre alphabétique, c’est un fichier de données à caractère.
Si le nom d’une entreprise, personne morale, n’est pas une donnée à caractère personnel, ce nom d’entreprise est toujours, dans le répertoire téléphonique ou dans le fichier de votre entreprise, rattaché au nom d’un commercial, d’un directeur ou autre. Un simple formulaire de contact sur un site internet pour créer une fiche prospect est un traitement des données et même un simple formulaire de contact dans lequel l’individu y mentionne qu’une adresse email pour une inscription à une newsletter constitue un traitement de données à caractère personnel.
Il faudra alors définir les modalités de collecte, de stockage, de sécurisation, de durée de conservation et d’utilisation afin de sécuriser les données personnelles récoltées.
En effet que recouvre la notion de traitement de données à caractère personnel et les obligations ?
• La collecte : c’est-à-dire la récupération de données à caractère personnel. Elle doit être faite exclusivement auprès de la personne concernée. Les données ne peuvent être récupérées auprès des partenaires sans une autorisation explicite de la personne concernée. Elle peut être effectuée par le biais d’une fiche de renseignements, d’une fiche client, d’une fiche candidat, d’une fiche prospect, d’un bordereau d’inscription, d’un formulaire sur un site internet par exemple.
• L’enregistrement : une fois les données collectées, l’action de les enregistrer dans une base de données, électronique ou non, est un traitement de données.
Notez bien que la notion de traitement électronique n’est pas exclusive : si vous classez des fiches de renseignements de vos prospects, clients, candidats dans une armoire, rangées par ordre alphabétique, cela constitue un traitement de données.
• La conservation : Dès la collecte d’une donnée personnelle il est nécessaire de définir la durée de conservation. La définition de cette durée de conservation pour chaque donnée traitée est imposée par le RGPD et doit être respectée. En effet il n’est pas nécessaire de garder les données personnelles en dehors de la durée de leurs traitements. Garder des données personnelles plus longtemps que le traitement ne le nécessite, représente un risque de perte ou de violation de données. Cette durée de conservation est à définir précaunieusement en fonction de vos obligations légales et des nécessités des traitements appliqués aux données à caractère personnel dont vous êtes responsable. Elle doit être respectée. Toute donnée dont le délai de conservation défini est dépassé doit être supprimée définitivement.
• Avoir une perte de données qui ne devraient plus être présentes dans les bases de l’entreprise est un facteur aggravant aux yeux de la CNIL.
• La communication, le transfert et l’interconnexion :Il n’est pas autorisé de transférer les données sans autorisation explicite des personnes concernées. Pour les transferts au sein d’un même groupe dans des pays différents : la consultation de la CNIL est nécessaire car vers certains pays il est rigoureusement interdit de transférer des données à caractères personnel de citoyens européens.
NB : Tous ces traitements doivent être analysés, étudiés et répertoriés dans le registre des traitements qui peut être obligatoire selon la taille de votre entreprise ainsi que le type de traitements que vous effectuez.
Ce registre doit pouvoir être présenté sans délai à la CNIL en cas de contrôle.
