Si la plupart des responsables ont désormais compris l’enjeu du règlement général sur la protection des données (RGPD) qui entrera en application le 25 mai 2018, la mise en œuvre de ses dispositions reste difficile à appréhender. A deux mois de son application, il est impératif pour les entreprises de sensibiliser leurs équipes sur les objectifs du règlement et surtout, sur la façon de les mettre en pratique.
1.La cartographie des risques
Afin de mettre en œuvre son plan de conformité, l’entreprise doit commencer par recenser les traitements de données personnelles, l’ensemble des flux informatiques et manuels pour déterminer d’où provient chaque traitement, par qui est-il effectué, et enfin, sa finalité. Cette cartographie de la donnée permettra in fine, de définir les enjeux et les risques propres à l’entreprise. Dans ce cadre, la CNIL propose des exemples de fiche de registre afin d’orienter les équipes de travail sur les actions à mener.
- Une feuille de route adressée à son équipe de travail
Une fois la cartographie établie, l’équipe doit prioriser ses actions en rédigeant une feuille de route comprenant :
– une méthode assurant la gestion des risques identifiés préalablement par l’équipe de travail
– la sensibilisation des opérationnels au sein de l’entreprise
– la mise en place d’une nouvelle gouvernance
– la création d’un processus de gestion des traitements afin d’assurer la conformité de l’entreprise en continue.
- L’information de l’individu en cas de collecte de données personnelles à partir de sources externes
S’il est possible de traiter de données collectées auprès de sources externes telles que les bases de données publiques, les réseaux sociaux, les listes de prospects, les dispositions du règlement doivent être respectées. Cependant, l’entreprise devra faire valoir un intérêt légitime au recueil de ces données au titre de l’article 47 du RGPD. Cet intérêt légitime peut être avancé lorsque :
- Le traitement des données a lieu dans le cadre d’une relation client
- Le traitement est opéré à des fins marketing
- Le traitement prévient la fraude ou assure la sécurité du réseau des systèmes informatiques
- Le choix de l’individu relativement à la collecte de ses données personnelles
Afin de pouvoir traiter les données personnelles, l’entreprise doit permettre à l’individu de fournir son consentement et ce, expressément au titre de l’article 7 du RGPD. En pratique, les cases pré-cochées seront exclues au bénéfice d’une disposition exclusivement consacrée au consentement de l’individu et ce, pour chaque donnée personnelle collectée. Cela permet de limiter la sur-collecte de donnée ; par exemple recueillir la date de naissance exacte de l’individu ne sera plus autorisé si l’année de naissance suffit à répondre à la finalité du traitement, tout comme son lieu de résidence exact si le pays suffit. Face à ces exigences, l’entreprise devra s’adapter et ne conserver que les données strictement nécessaires. Par ailleurs, si l’individu souhaite modifier ou même supprimer ses données personnelles, cette manipulation doit être facilement réalisables, ce qui suppose de rendre flexible son système de collecte de données personnelles.
- S’assurer de la conformité des sous-traitants
Si les détenteurs directs des données personnelles sont visés par le règlement, ce dernier s’applique aussi aux sous-traitants et vendeurs dès lors qu’ils disposent d’un accès à ces données. En effet, ces derniers doivent attester de leur conformité avec le RGPD. Pour se faire, les entreprises devront insérer dans les contrats, s’ils sous-traitent les données collectées, des clauses types relative à la protection des données attestant de leur conformité au RGPD.
- Quels sont les outils de travail des collaborateurs visés par le RGPD ?
Par définition, le RGPD s’applique lorsque
- Le traitement est effectué par des « moyens automatisés »
- Lorsque les données « font partie d’un système de classement ou sont destinées à faire partie d’un système de classement » bien que le traitement ne soit pas réalisé par des moyens automatisés stricto sensu.
En ce qui concerne le premier cas, les équipes de travail devront seulement procéder aux conversions des documents sous format numérique. En ce qui concerne le second cas, les équipes de travail doivent entendre par système de classement « tout ensemble structuré de données personnelles qui est accessible selon des critères spécifiques ». En pratique, tous les documents papiers non organisés comme les documents en vrac sur une imprimante, sur un bureau ne sont pas soumis au RGPD. A contrario, dès lors que ces documents papiers sont organisés par les collaborateurs de manière à être accessibles selon des critères définis, le RGPD s’appliquera. A titre d’exemple, seront soumis au RGPD les fichiers placés dans un classeur indexé par nom, les rapports de dépenses triés par fonction et triés en interne ou encore les dossiers du département des ressources humaines.
Au regard des changements futurs, nous préconisons d’engager la mise en conformité dès que possible. Doté à présent d’un département dédié aux problématiques des données à caractère personnel et d’un département assorti de compétences techniques, Dreyfus & associés est le partenaire idéal pour vous accompagner dans cette démarche de transition.