Nouveau règlement sur la protection des données : ce qu’il faut savoir

Actualités travaux
Nouveau règlement sur la protection des données : ce qu’il faut savoir
Afin de mieux protéger les données à caractère personnel des individus de l’Union Européenne, le Parlement Européen a adopté un nouveau règlement (RGPD) qui doit être mis en application par les Etats membres depuis le 25 mai 2018. Concrètement, tous les organismes, sociétés, prestataires de services et autres qui collectent et traitent des données personnelles doivent désormais se conformer à une procédure plus rigoureuse. Voici comment.

Afin de mieux protéger les données à caractère personnel des individus de l’Union Européenne, le Parlement Européen a adopté un nouveau règlement (RGPD) qui doit être mis en application par les Etats membres depuis le 25 mai 2018. Concrètement, tous les organismes, sociétés, prestataires de services et autres qui collectent et traitent des données personnelles doivent désormais se conformer à une procédure plus rigoureuse. Voici comment.

Nouvelle réglementation du 25 mai 2018 : tout ce qu’il faut retenir

Le traitement des données à caractère personnel et la libre circulation de ces données ont donné lieu récemment à une nouvelle réglementation mise en place par le Parlement européen et le Conseil en charge de la protection des personnes physiques et desdites données personnelles.
Le règlement général sur la protection des données ou RGPD constitue désormais le texte de référence européen sur la protection des données à caractère personnel. Il remplace l’ancienne directive sur la protection des données qui avait été adoptée en 1995. Ce règlement n°2016/679 sur lequel ont planché les états membres a finalement été adopté le 14 avril 2016 au sein du Parlement Européen et les 28 Etats membres de l’Union européenne doivent le mettre en application depuis le 25 mai 2018.
A l’inverse de la directive (comme celle de 1995), le règlement ne nécessite pas que les Etats membres adoptent une loi de transposition, ce qui rend donc les règlements directement applicables dans chaque pays de l’Union Européenne.

Qui est concerné par la nouvelle règlementation du 25 mai 2018 ?
- Les personnes qui diffusent leurs données personnelles dont il faut renforcer la protection et en assurer la confidentialité ;
- Les personnes, sociétés, organismes qui ont en charge de traiter les données personnelles de ces personnes qui devront s’assurer du traitement conforme de ces données sensibles et sont désormais contrôlés par des autorités de régulation.

Pour légiférer en cas de litige, on fera appel au droit de l’informatique et au droit de l’Union Européenne.

Les textes de références à connaître sont notamment :
- La Directive 95/46/CE sur la protection des données personnelles
- La Directive 2006/24/CE sur la conservation des données
- La Directive du 12 juillet 2002 sur la protection de la vie privée dans le secteur des communications électroniques
- Le texte : Vie privée et informatique
- Le texte de loi sur le Droit à l'oubli

Les intervenants à connaître en matière de libertés et protection des données sont notamment :
- La CNIL : Commission Nationale de l’Informatique et des Libertés

- Le Délégué à la protection des données (ou Data Protection Officer)

- L’Association Française des correspondants à la protection des données à caractère personnel

Quelles sont les démarches prioritaires pour ceux qui traitent les données ?

Depuis le 25 mai dernier, tout organisme ou toute entreprise traitant des données personnelles devra procéder de la manière suivante :
- Recensement des fichiers de l’entreprise ;
- Définition claire des activités de l’entreprise qui impliquent une collecte de données personnelles (exemple : activité de recrutement des salariés, gestion des paies, fichiers de clients prospectés pour le service commercial, etc.) ;
- Création d’une fiche activité (obligatoire) : cette fiche va permettre de recenser les données qui sont nécessaires à telle ou telle activité. Elle doit aussi mentionner la liste des personnes qui ont accès à la fiche activité. Chaque fiche aura une durée de conservation clairement indiquée.
- Information aux principaux intéressés concernant la collecte de leurs données personnelles (finalité de la collecte, personnes y ayant accès, durée de conservation, droits de l’utilisateur...).
- Protéger les données pour éviter le piratage en renforçant les systèmes de sécurité (antivirus, changement des mots de passe le plus souvent possible) et de sauvegarde de ces données et en sécurisant au maximum les locaux de l’entreprise.
- En cas d’accès accidentel aux données personnelles de ses employés, le dirigeant devra en faire état à la Cnil dans un délai de 72 heures.

Nota : le dirigeant d’une entreprise doit définir clairement les personnes qui auront à charge de s’occuper du traitement des données personnelles de ses employés. En outre, il est responsable de la tenue du registre recensant les fichiers de l’entreprise (fiches activités) et doit s’assurer de la mise à jour régulière de ce registre et du tri des informations collectées. Comme le soulignent la Cnil et BpiFrance ‘il n’est pas utile de savoir si vos salariés ont des enfants, si vous n’offrez aucun service ou rémunération attachée à cette caractéristique ».

Pourquoi est-il important de protéger les données de ses employés ?

Les données personnelles d’un salarié regroupent une quantité d’informations permettant d’identifier cette personne. Cela va des nom et prénom, adresse, numéro de téléphone, adresse électronique, numéro de sécurité sociale, date de naissance, identifiant lié à l’activité (exemple numéro de client), en passant par des données biométriques, etc. L’importance de procéder à la protection de ces données permet d’éviter le piratage (détournement des données par une tierce personne en vue d’une utilisation à son propre compte, usurpation d’identité, etc).
En croisant plusieurs fichiers, un spécialiste du piratage d’informations peut reconstituer toute l’identité d’une personne et avoir accès à des données privées (santé, compte bancaire, etc.). Sans aller jusqu’à prévoir le pire avec une usurpation d’identité et le risque qu’un salarié se voit vider son compte bancaire, certaines entreprises commerciales peuvent aller récupérer des données sur les habitudes, la localisation, le nombre d’enfants, etc. des salariés en vue de les démarcher plus tard.

Si l’employeur se doit de protéger toutes les données personnelles de ses salariés, c’est encore plus impératif si l’on touche à des données sensibles de leurs habitudes de vie : appartenance à une religion, origine ethnique, groupe politique, orientation sexuelle, casier judiciaire, etc. La loi informatique et libertés encadre d’ailleurs strictement le traitement de ce type de données.
Quant aux transferts de telles données en dehors de l’Union Européenne, il faudra encadrer strictement et juridiquement le processus de transfert et se rapprocher de la Cnil.
Remarque importante : si dans l’ancien système, vous avez été amené à collecter des informations personnelles sur fichier papier, la protection est également nécessaire. La nouvelle règlementation concerne aussi bien les fichiers numériques que les fichiers papier. Chaque donnée collectée doit avoir un but précis et l’entreprise ne prendra donc que les données dont elle a besoin et dont elle peut justifier l’utilisation.

RGPD : trop de contraintes ?

Si la RGPD peut sembler, à première vue, contraignante notamment lorsque les effectifs d’une entreprise sont importants et qu’il faut organiser différemment la collecte des données et leur sécurisation, il n’en demeure pas moins qu’elle est essentielle au bon fonctionnement de toute organisation et à la sécurité des données les plus confidentielles. La Cnil souligne que c’est d’ailleurs un moyen de rendre les futurs clients d’une entreprise plus confiants car ils savent que les informations privées qu’ils pourront transmettre ne seront pas détournées par un tiers et utilisées à des fins nuisibles. De plus, pour les salariés, cela est aussi un gage de confiance et ils sont rassurés de savoir que leurs données personnelles et sensibles seront utilisées dans l’unique but qui leur a été signalé et qu’elles ne tomberont pas dans d’autres mains (entreprises extérieures, organismes divers
ou hackers).

Partager cet article :
   

Vous cherchez des chantiers ?

Notre service vous permet de recevoir des chantiers
près de chez vous, sans aucun engagement.
Trouvez des chantiers