RGPD

Règlement général sur la protection des

données

« Responsabiliser les entreprises,

afin de protéger les droits et libertés des personnes physiques

et intérêts de tous.»

1.Qu’est-ce que le RGPD ?

Le Règlement général sur la protection des données du 27 avril 2016 est un acte législatif émanant du parlement européen et du conseil de l’union européenne, relatif à la sécurité sur les réseaux informatiques.

Son objectif est d’assurer la protection des données à caractère personnel des salariés, candidats à un emploi, consultants extérieurs, clients, prospects, fournisseurs, partenaires commerciaux, patients, etc…, de mieux protéger les citoyens, de faire face aux évolutions technologiques en la matière et d’harmoniser la réglementation sur la protection des données entre les Etats membres de l’Union Européenne.

Le règlement entend :

Lutter contre le vol de données personnelles via internet et les réseaux informatiques
Renforcer le droit des personnes ;
Responsabiliser les entreprises et professionnels ;
Augmenter la coopération entre les autorités protectrices de données personnelles au sein de l’Union Européenne. En France, cette autorité est la CNIL.

Les entreprises devront être en mesure de prouver à tout moment leur respect des règles.

Le RGPD s'applique au traitement de données à caractère personnel appelées à figurer dans un fichier.

2. Quelles sont les données à protéger ?

Il s’agit de l’ensemble des données personnelles permettant d’identifier de manière directe ou indirecte une personne et figurant dans des fichiers numériques ou papier :

· Noms, prénoms ; Adresses ; Numéros de téléphone ;

· Numéros de permis de conduire ; de compte bancaire ; de sécurité sociale ;

· Situations familiales ; Etats de santé : maladie, handicap, grossesse, etc… ;

· Photocopies ou scans de cartes d’identité, passeports, permis de conduire, cartes grises, cartes vitales,

· Justificatifs de domicile ; Revenus ; Identifiants, codes d’accès, mots de passe

· Adresses IP ; Données biométriques ; Données de géolocalisation ;

· Enregistrements vidéo de caméras ; Parcours professionnels ;

La gestion des ressources humaines est directement impactée au sein des entreprises dans la mesure où elle génère une collecte, un traitement et un stockage de nombreuses données personnelles sur les salariés à l’occasion des recrutements, embauches, payes, entretiens, etc...

3. Quelles sont les sanctions en cas

d’infraction ?

Le règlement européen renforce les pouvoirs de sanction de la CNIL en France.

Elle peut contrôler les entreprises à tout moment.

En cas de non-conformité, la CNIL peut infliger une amende variant de 2 à 4 % du chiffre d’affaire annuel mondial de l’entreprise, avec un plafond de 20 millions d’euros.

Elle peut également :

Prononcer un rappel à l’ordre ou un avertissement ;
Adresser une mise en demeure ;
Limiter temporairement ou définitivement un traitement de données ;
Suspendre les flux des données ;
Ordonner de satisfaire aux demandes d’exercice des droits des personnes ;
Ordonner la rectification, la limitation ou l’effacement des données.

4. Quelles sont les actions à mener pour

une mise en conformité au RGPD?

1. Constituer un registre des traitements de données :

Ce document permet de recenser tous les fichiers et avoir une vision d’ensemble.

Identifiez les activités principales de l’entreprise qui nécessitent la collecte et le traitement de données. (Exemples : recrutement, gestion de la paye, formation, gestion des badges et des accès, statistiques de ventes, gestion des clients prospects, etc.).

Le registre doit être placé sous la responsabilité du dirigeant de l’entreprise.

Pour avoir un registre exhaustif et à jour, toutes les personnes de l’entreprise susceptibles de traiter des données personnelles doivent être impliquées.

2. Faire le tri dans les données :

La constitution du registre permet d’interroger sur les données dont l’entreprise a réellement besoin.

Pour chaque fiche de registre créée, il faut vérifier que :

Les données traitées sont nécessaires à l’activité de l’entreprise (par exemple, il n’est pas utile de savoir si les salariés ont des enfants, si vous n’offrez aucun service ou rémunération attachée à cette caractéristique) ;

Seules les personnes habilitées ont accès aux données dont elles ont besoin ;

Les données ne sont pas conservées au-delà de ce qui est nécessaire.

3. Respecter les droits des personnes :

Le RGPD renforce l’obligation d’information et de transparence à l’égard des personnes dont les données sont traitées (clients, collaborateurs, etc.). Il faut :

Informer les personnes à chaque collecte des données personnelles ; le support utilisé (formulaire, questionnaire, etc.) doit comporter des mentions d’information.

Vérifier que l’information comporte les éléments suivants :
Pourquoi la collecte des données est effectuée (finalité)
Ce qui autorise à traiter ces données (fondement juridique)
Qui a accès aux données
Combien de temps de conservation
Les modalités selon lesquelles les personnes concernées peuvent exercer leurs droits (via leur espace personnel sur votre site internet, par un message sur une adresse email dédiée, par un courrier postal à un service identifié) ;

Permettre aux personnes d’exercer facilement leurs droits :

Les personnes dont les données sont traitées (clients, collaborateurs, prestataires, etc.) ont des droits, (renforcés par le RGPD) : droit d’accès, de rectification, d’opposition, d’effacement, à la portabilité et à la limitation du traitement.

Ils doivent avoir les moyens d’exercer effectivement leurs droits.

4. Sécurisez les données :

Il est obligatoire (obligation légale) de prendre les mesures nécessaires pour garantir au mieux la sécurité des données.

Les mesures à prendre, informatiques ou physiques, dépendent de la sensibilité des données traitées et des risques qui pèsent sur les personnes en cas d’incident.

Des réflexes doivent être mis en place : mises à jour des antivirus et logiciels, changement régulier des mots de passe et utilisation de mots de passe complexes, ou chiffrement des données dans certaines situations. En cas de perte ou vol d’un outil informatique, il sera plus difficile pour un tiers d’y accéder.

Signaler à la CNIL les violations de données personnelles :

Votre entreprise a subi une violation de données (des données personnelles ont été, de manière accidentelle ou illicite, détruites, perdues, altérées, divulguées ou vous avez constaté un accès non autorisé à des données) ?

Vous devez la signaler à la CNIL dans les 72 heures si cette violation est susceptible de représenter un risque pour les droits et libertés des personnes concernées.

Cette notification s’effectue en ligne sur le site internet de la CNIL.

Si ces risques sont élevés pour ces personnes, vous devrez les en informer.

*Source : CNIL

Contact

Adresse : Meyzieu, 69330 Rhône

Mail : cabinet@in-novrh.fr

Téléphone : +33 (0)6 41 86 30 68

Newsletters

Tenez vous au courant des dernières actualités RH.

Mentions légales : Siège social : 11 rue du commerce, Meyzieu - France N° TVA : FR66852683077

SIRET : 852 683 077 00014 APE : 8211Z - RCS Lyon

Mentions légales