Focus sur le RGPD en entreprise

Tout responsable du traitement des données et tout sous-traitant doivent prendre des mesures qui garantissent une utilisation respectueuse des informations portant sur la vie privée des individus concernés. Topo sur le RGPD en entreprise.

Le travail et les données personnelles

Pour les entreprises comme les particuliers, le RGPD est entré en vigueur en mai 2018. Le traitement et la collecte des données personnelles impliquent d’informer les personnes concernées sur ce qui est fait de leurs données, mais aussi de respecter leurs droits. Par ailleurs, le socle du contrat de confiance qui lie une entreprise avec les personnes dont les données sont traitées est une information claire et complète.

Le RGPD dans le cadre du travail

Les contrôles du temps de travail et d’accès aux locaux professionnels existent depuis toujours. Si le développement des technologies facilite les contrôles, il permet également de collecter davantage d’informations sur les individus concernés. Dans le cadre du RGPD en entreprise, les utiliser dans le respect de certaines limites est indispensable pour préserver les droits et les libertés. L’employeur peut mettre en place des outils de contrôle (biométriques ou non) individuel de l’accès pour sécuriser les locaux et l’entrée. Ces dispositifs peuvent également servir à gérer les temps de présence et les horaires des employés, mais ne doivent pas être utilisés pour contrôler les déplacements dans les locaux. Les représentants du personnel doivent être libres de circuler dans l’exercice de leurs fonctions et ne doivent pas être entravés par le dispositif mis en place. Ce dernier ne doit pas non plus être usité pour le contrôle du respect des heures de délégation. Par ailleurs, seuls les membres habilités des services qui gèrent la paie, le personnel ou la sécurité ont accès aux informations. Des mesures assurant la sécurité des informations qui concernent les salariés doivent être prévues. Pour les accès informatiques, l’on doit retrouver des habilitations avec une traçabilité des actions réalisées.

Ceux qui sont concernés par le RGPD

Des explications concernant le RGPD s’imposent. Tous les organismes, quels que soient leurs activités, leurs tailles et leur pays d’implantation peuvent être concernés par le RGPD. Ce dispositif est valable pour tous les organismes publics ou privés collectant et exploitant des informations personnelles pour leur compte ou non dès lors :

  • Qu'ils sont présents sur le territoire de l’Union européenne ;
  • Que les résidents européens sont directement ciblés par leurs activités.

Le ¬RGPD concerne également les sous-traitants qui traitent des données à caractère personnel pour le compte d’autrui. Ils sont de ce fait obligés de garantir la protection des données qui leur sont confiées. Approfondissez le sujet de la politique de protection des données personnelles sur cet article.

Comprendre le RGPD

L’acronyme RGPD (Règlement Général sur la Protection des Données) encadre le traitement des données personnelles dans l’Union européenne. Le contexte juridique actuel a été adapté afin de suivre l’évolution des habitudes (forte croissance du commerce en ligne, fort usage du numérique, etc.) et des technologies. Cette nouvelle règlementation européenne complète la Loi française informatique et Liberté de 1978. Grâce au RGPD, les organismes publics et privés qui traitent les données sont responsabilisés. Il renforce le contrôle effectué par les citoyens sur l’utilisation qui peut être faite de leurs données personnelles. En offrant un cadre juridique unique aux professionnels, il harmonise les règles en Europe. Par ailleurs, en se fondant sur la confiance des utilisateurs, le RGPD permet aux professionnels de développer leurs activités numériques dans l’UE.

Les données à caractère personnel

Une donnée se rapportant à un individu est dite personnelle lorsqu’elle permet de l’identifier, directement ou non. Un individu peut être identifié :

  • Directement (nom, prénom, etc.) ;
  • Indirectement (numéro de téléphone, identifiant, photo, voix, donnée biométrique, éléments spécifiques propres à l’identité physique, génétique, psychique, physiologique, économique, physiologique, sociale et culturelle).

Par ailleurs, l’identification d’une personne physique peut être faite à partir :

  • D’une unique donnée (ADN, numéro de sécurité sociale, etc.) ;
  • Du croisement de plusieurs données (date de naissance, abonnement à un magazine, adresse de la compagne, etc.).

Le traitement des données

Le traitement des données personnelles est une opération ou un ensemble d’opérations qui portent sur des données à caractère personnel. Le procédé utilisé peut être de différentes formes :

  • Collecte ;
  • Organisation ;
  • Enregistrement ;
  • Conservation ;
  • Modification ;
  • Adaptation ;
  • Extraction ;
  • Utilisation ;
  • Consultation ;
  • Communication ;
  • Rapprochement.

Le traitement d’une donnée personnelle doit avoir un objectif. En effet, une enseigne ne possède pas le droit de collecter des données sous prétexte qu’elles lui seront probablement utiles un jour. Chaque traitement doit être assigné à un but et doit être légal, mais aussi légitime, au regard de l’activité professionnelle de la société qui s’en charge. Un fichier contenant uniquement des coordonnées d’entreprise n’est pas considéré comme étant un traitement de données personnelles. Ce document ne sera pas forcément informatisé, car les papiers sont concernés et doivent être protégés. Apprenez-en davantage sur la face cachée du numérique via cet article.

RGPD entreprise toutes les précisions

Ce que dit la loi concernant le RGPD

Dans son article premier, la loi concernant le RGPD stipule que chaque personne possède le droit de décider, mais aussi de contrôler les usages qui sont faits des données à caractère personnel qui la concernent. Cette loi s’applique aux traitements automatisés ou non des informations qui figurent dans les fichiers. Elle définit notamment ce que sont les données personnelles, précisant que leur traitement ainsi que leur collecte doivent être effectués de manière loyale et licite. En outre, le but de ce traitement doit être déterminé, explicite et légitime. Le propriétaire des données doit par ailleurs connaître le but de la collecte. Après obtention d’un consentement, les données devront être pertinentes, adéquates, exactes, non excessives et complètes. La loi précise également l’interdiction de collecter et/ou de traiter des données à caractère personnel et sensible faisant apparaitre directement ou indirectement :

  • Les origines ethniques ou raciales ;
  • Les opinions politiques, religieuses ou philosophiques ;
  • L'appartenance syndicale des individus ;
  • Les informations relatives à la santé ;
  • L’orientation sexuelle.

Les exceptions

Les syndicats ou les associations peuvent collecter certaines données à plusieurs conditions. En premier lieu, la finalité ou le but recherché doit l’exiger. Les données collectées doivent également être directement liées à l'objet de l'organisme ou de l'association. Par ailleurs, elles doivent uniquement porter sur des informations non communiquées à des tiers.

En cas de manquement à la loi

Lorsque la CNIL constate un manquement à la loi, elle met en demeure les enseignes intéressées de la respecter, et ce, dans un délai précis. Différentes sanctions en lien avec le RGPD peuvent être prononcées si rien ne change. Parmi les pénalités, l’on compte :

  • Les avertissements ;
  • La suspension des flux de données ;
  • Les injonctions avec astreintes ;
  • Les sanctions financières qui seront proportionnelles à la gravité du manquement commis ainsi qu’aux avantages qui en ont été tirés.

Depuis l’entrée en vigueur du RGPD, le montant peut atteindre 20 millions d’euros. Découvrez comment préparer votre entreprise à la mise en conformité dans cette vidéo

.