Depuis le 25 mai 2018 les règles sur les données personnelles ont changés, désormais les entreprises qui collectent, stockent ou utilisent des données personnelles doivent respecter la nouvelle règlementation issue du Règlement général sur la protection des données dit RGPD.

règlement general sur la protection des donnees:

1. qui est concerné

Tout organisme public ou privée, quels que soient sa taille, son pays d’implantation et son activité, qui traite des données personnelles pour son compte ou non, dès lors :
– qu’elle est établie dans l’Union Européenne ;
– que son activité cible directement des résidents européens.

2. qu’est ce qu’une donnée personnelle

Une donnée personnelle est toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Concrètement, ce sont : un nom, une adresse, un identifiant en ligne, un ou plusieurs éléments spécifiques propres à l’identité physique, physiologique, économique… d’une personne.
Les données professionnelles d’une personne (telle que sa carte de visite) sont considérées comme des données personnelles.

3. quelles sont les étapes a respecter pour se mettre en conformité ?

Etape 1 : désigner un Délégué à la protection des données (DPO)

Obligatoire dans 2 situations :

– Lorsque vos activités de base vous amènent à réaliser un suivi à grande échelle, régulier et systématique des personnes,
– Lorsque vos activités de base vous amènent à traiter à grande échelle des données dites « sensibles » (orientation sexuelle, convictions religieuses, données biométriques, génétiques ou de santé, origine raciale ou ethnique, etc), ou relatives à des condamnations pénales et infractions.

Etape 2 : établir un registre des données personnelles utilisées dans l’entreprise

Le registre listant vos traitements de données pour avoir une vision d’ensemble.
Dans ce registre, créez une fiche pour chaque activité qui nécessite la collecte et le traitement de données, en précisant : l’objectif poursuivi, les catégories de données utilisées, qui a accès aux données et la durée de conservatoire de ces données. voir le modèle de la CNIL

Etape 3 : analyser les données du registre

Il faut vérifier pour chaque traitement :

– les circonstances de collecte des données : consentement obtenu ?

– l’information délivrée aux personnes faisant l’objet de la collecte et du traitement : information lors de la collecte de la finalité du traitement et de leurs droits ;

– la nature des données collectées au regard de la finalité : seules les données strictement nécessaires au traitement et à la finalité recherché peuvent être collectées et traitées.

Etape 4 : mettre en place des mesures pour sécuriser les données et sensibiliser tous les salariés de l’entreprise

voir le modèle de courrier à adresser aux salariés

Etape 5 : donner l’accès à la donnée et permettre sa portabilité

Il peut vous être demandé par une personne de communiquer l’intégralité de ces données. L’exercice du droit d’accès permet de contrôler l’exactitude des données et, au besoin, de les faire rectifier ou effacer.

Le droit à la portabilité offre aux personnes la possibilité de récupérer une partie de leurs données dans un format ouvert et lisible par machine. Elles peuvent ainsi les stocker et les transmettre facilement d’un système d’information à un autre, en vue de leur réutilisation à des fins personnelles. Ce droit s’applique si 3 conditions sont réunies :
– le droit à portabilité est limité aux données personnelles fournies par la personne concernée ;
– il ne s’applique que si les données sont traitées de manière automatisée et sur la base du consentement préalable de la personne concernée ou de l’exécution d’un contrat conclu avec la personne concernée ;
– l’exercice du droit à la portabilité ne doit pas porter atteinte aux droits et libertés de tiers.

Etape 6 : mener une analyse d’impact relative à la protection des données (DPIA) pour certains traitements strictement définis

Obligatoire dès lors qu’il y a combinaison de deux des critères suivants :
– évaluation ou notation ;
– décision automatisée avec effet juridique ou effet similaire significatif ;
– surveillance systématique ;
– données sensibles ou données à caractère hautement personnel ;
– données personnelles traitées à grande échelle ;
– croisement d’ensembles de données ;
– données concernant des personnes vulnérables ;
– usage innovant ou application de nouvelles solutions technologiques ou organisationnelles ;
– exclusion du bénéfice d’un droit, d’un service ou contrat.
L’analyse d’impact permet d’évaluer, en particulier, l’origine, la nature, la particularité et la gravité du risque pour les droits et libertés des personnes concernées.

Etape 7 : programmer la suppression des données

Le RGPD impose de procéder à la suppression des données personnelles dès lors qu’elles ne sont plus nécessaires au regard de la finalité en application du principe de durée de conservation limité en prévoyant des délais de suppression des données, en fonction de chaque fichier.

Etape 8 : réagir immédiatement en cas d’atteinte / de risque d’atteinte aux données personnelles

Dès lors qu’une violation de données est portée à la connaissance de l’entreprise et que celle-ci a un impact sur des données personnelles, la CNIL doit être informée.

Télécharger le guide complet CPME