Joelle Marteau Péretié avocat droit de la sécurité sociale et Droit du travail à Paris et Lille Avocat en droit du travail sur Facebook Contactez votre avocat en droit du travail Connectez-vous à votre compte

Principe et application du RGPD

Le Règlement général sur la protection des données est un règlement de l’union Européenne applicable depuis le 25 Mai 2018. Il s’applique à tous les fichiers. C’est-à-dire aux traitements « informatisés » comme aux traitements « papier » du moment où les données sont ordonnées.

En France c’est la Commission nationale informatique et liberté (CNIL) qui est en charge de faire respecter son application.

Un double objectif

-Protéger les personnes en règlementant le traitement des données personnelles. De cette manière les personnes concernées ont le contrôle sur leurs données personnelles.

-La responsabilisation des collecteurs de données, tout en simplifiant l’environnement réglementaire.

Qui est concerné ?

L’application du RGPD concerne tout le monde, peu importe qu’il soit une personne physique ou morale.

Il ne s’applique pas aux traitements de données mis en œuvre pas une personne physique dans le cadre d’une activité personnelle.

Quelles sont les données concernées ?

Le RGPD concerne le recueil et le traitement des données personnelles.

Il n’y a pas de liste exhaustive des données concernées. Mais elles peuvent être résumées de manière simple : il s’agit de toute information se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement.

-Une donnée directement identifiable peut être par exemple un nom, un prénom ou un NIR (numéro de sécurité sociale).

-Là ou cela devient plus compliqué c’est pour le cas des données indirectement identifiables. C’est le cas par exemple d’un numéro de plaque d’immatriculation, d’un numéro de téléphone, d’une adresse IP, etc…

Les fondements du RGPD

Loyalité et transparence : le RGPD donne le contrôle aux personnes concernées sur leurs données personnelles. Cela signifie qu’elles doivent être parfaitement informées de ce qui va être fait des informations qui les concernent.

Consentement : aucun traitement des données personnelles ne peut être fait sans le consentement éclairé des personnes. Ce consentement doit être obtenu de façon libre par un acte positif et clair pour chaque traitement.

A noter que ce consentement peut être retiré à tout moment par les personnes concernées.

La légitimité : Le RGPD est adaptatif, c’est-à-dire qu’il prend en compte la nécessité et la justification. Par exemple il est tout à fait justifié pour un employeur de collecter les NIR. Par contre un opérateur télécom ne peut absolument pas justifier la collecte de ce genre d’information auprès de ses clients.

La collecte de certaines données peut être justifiée pour une période donnée. Ainsi un employeur a besoin de l’IBAN de ses salariés lors de l’embauche. Mais une fois enregistré par la banque plus rien ne justifie de garder ce document.

Finalité : Chaque donnée est collectée avec une finalité précise et ne peut être utilisée pour autre chose. Par exemple une entreprise qui met en place une vidéosurveillance à des fins de "sécurité des biens" ne peut en aucun cas l’utiliser pour reprocher un retard à un salarié.

Comment l’appliquer ?

Pour appliquer le RGPD la CNIL préconise 6 étapes :

  • Tout d’abord désigner un « pilote » : c’est lui qui au sein de la structure sera en charge d’informer, de conseiller et de contrôler en interne.
  • Répertorier l’ensemble des traitements de données personnelles : il s’agit de recenser précisément chaque traitement effectué dans la chaine, c’est-à-dire de la collecte jusqu’ à l’utilisation finale, en incluant tous les traitements intermédiaires.
  • Etablir une liste de priorité : l’application du RGPD peut difficilement se faire en une seule fois. Il faut donc trier toutes les actions à mettre en place en commençant par les plus critiques.
  • Analyser les risques : tous les points susceptibles de faire courir un risque aux personnes concernées doit faire l’objet d’une analyse précise et d’un plan d’action.
  • Mettre en place des processus interne : chacun de ces processus devra prendre en compte la protection des données, et inclure des moyens de contrôle.
  • Documenter : c’est le point final de la mise en place de la conformité au RGPD. Chaque traitement est documenté.

L’application du RGPD fait partie d’une démarche continue. Chaque traitement, processus, contrôle et documentation doit suivre l’évolution de la vie de l’entreprise.

Un exemple concret de mise en place

Le site web Nounouland.com spécialisée dans la garde d’enfants, qui se veut exemplaire sur le traitement des données et le respect des utilisateurs, a choisi de scinder sa base de données en deux.

La première hautement sécurisée destinée à stocker les informations personnelles des utilisateurs.

La seconde contient des données dans un but statistique et d’analyse mais ne permet pas d’identifier l’utilisateur.

C’est un bon exemple de pratique attendue par le RGPD.

Exemples de données et de traitements concernés par le RGPD

Fichiers clients, liste de prospect, données des salariés, etc… La responsabilité de l’entreprise s’étend à toutes les données y compris celle traitées par des sous-traitants. Ainsi un logiciel de paie hébergé chez un prestataire « en ligne » est toujours sous la responsabilité de l’entreprise.

Il est donc important de lister l’ensemble des prestataires concernés et de s’assurer de leur conformité au RGPD également. Parmi ces prestataires on peut citer la maintenance informatique (si elle a accès aux données), les fournisseurs d’emailing, la télésurveillance, les hébergeurs de site internet et de bases de données, et de manière générale tout ce qui est « cloud ».

Se faire accompagner

Devant l’ampleur des changements qu’engendre l’application du règlement général sur la protection des données, de nombreuses sociétés de conseils sont apparues. En cas de doute il ne faut pas hésiter à faire appel à un expert. Même si il est peu probable que les sanctions de la CNIL soient lourdes les premiers temps, elles risquent de devenir importantes pour ceux qui n’auront pas pris ce texte au sérieux.

Article écrit par le .
Publication : / Dernière modification :
permalien : https://www.marteau-peretie-avocat.eu/article/principe-application-rgpd

Evaluez cet article :

Ajouter un commentaire :

Pour commenter cet article vous devez vous authentifier. Si vous n'avez pas de compte, vous pouvez en créer un.