RGPD : le point sur vos obligations


Le RGPD, ou Règlement Général sur la Protection des Données, est le nouveau texte de référence Européen en matière de protection des données à caractère personnel, qui entrera en vigueur le 25 mai 2018. Il vise à renforcer et unifier la protection des données pour les individus au sein de l’UE.

Qui est concerné ?

Toute entreprise, publique ou privée, quelle que soit sa taille et son secteur d’activité, qui traitent des données personnelles et :

  • a une activité en Europe.

Si l’entreprise n’est pas établie dans l’Union Européenne, mais que les activités de traitement sont liées à des offres de biens et services effectuées au sein de l’Union européenne ou que les activités sont liées à des comportements de personnes se trouvant dans l’Union européenne, le RGPD s’applique.

  • Ou qui est établie en Europe, même si le traitement est effectué hors de l’Europe. Cela vaut également pour les sous-traitants de l’entreprise.

Par où commencer ?

Il est difficile d’identifier les changements apportés par le RGPD et les nouvelles obligations qui en découlent. La CNIL apporte un éclairage et fait le point sur les 4 actions principales qui vous permettront de vous engager sur la voie de la conformité.

Le CIGREF, l’AFAI et TECH IN France se sont également associés afin de proposer un guide complet sur l’application concrète du RGPD en entreprise.

Quelles obligations ?

Parmi les nouvelles obligations instaurées par le RGPD, les plus importantes sont :

  • Établir un registre des activités de traitement.

Chaque traitement doit pouvoir être justifié par une finalité déterminée, qui doit être précisée aux personnes concernées avant toute collecte de données.

Seules les données strictement nécessaires à la réalisation de l’objectif peuvent être collectées. La durée de conservation de ces données doit par ailleurs être limitée.

Pour en savoir plus et pour obtenir un modèle de registre, rendez-vous sur le site de la CNIL.

  • Désigner un Délégué à la Protection des Données (DPO) :

La désignation d’un DPO est notamment obligatoire si votre activité de base vous amène à réaliser un suivi régulier et systématique des personnes à grande échelle, ou à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions.

Même si votre société n’est pas formellement dans l’obligation de désigner un délégué à la protection des données, il est fortement recommandé de désigner une personne disposant de relais internes, chargée de s’assurer de la mise en conformité au règlement européen.

Pour en savoir plus

D’autre part, afin de faciliter cette démarche, et de permettre aux entreprises de la Branche de mieux identifier les spécificités du RGPD et ses enjeux, le Fafiec met en place une Action Collective Nationale dont les coûts pédagogiques sont entièrement pris en charge.

Cette action permet également le passage de la certification de Délégué à la Protection des Données (Data Protector Officer).

Pour en savoir plus

  • Mener une étude d’impact :

L’obligation de procéder à une analyse d’impact relative à la protection des données remplace désormais les précédentes formalités de déclarations et d’autorisations faites auprès de la CNIL.

L’analyse d’impact n’est obligatoire que lorsque le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des salariés. La CNIL édicte une série de critères pour évaluer ce risque.

De plus, la CNIL propose un logiciel d’analyse d’impact gratuit nommé PIA.

Comment assurer la protection des données ?

Il revient à l’employeur de s’assurer que les outils qu’il utilise sont en conformité avec la réglementation sur les données personnelles. L’article 25 du règlement prévoit en effet que l’employeur « met en œuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées ».

Afin de protéger ces données, il est nécessaire de disposer d’un logiciel performant qui offre effectivement les fonctionnalités imposées par le RGPD telles que :

  • La possibilité de rectifier ou effacer des données inexactes, également de les supprimer de manière définitive, notamment à la demande des salariés.
  • Garantir la sécurité des données.

Plusieurs sociétés spécialisées peuvent vous proposer des logiciels performants.

Pour plus d’informations, vous pouvez contacter Élodie Crépieux.