Le 25 Mai 2018 entrera en vigueur le RGDP (Règlement général sur la protection des données) qui s’applique « au traitement des données à caractère personnel, automatisé en tout ou partie, ainsi qu’au traitement non automatisé des données à caractère personnel contenues ou appelées à figurer dans un fichier ». C’est un règlement européen – 16-679 qui s’applique à toutes les entreprises et structures basées en Europe.Pour les structures de moins de 250 salariés les obligations sont allégées – le registre des activités de traitement n’est pas obligatoire, sauf si le traitement des données comporte un risque pour les droits et libertés des personnes – CF article 9.
L’objectif de ce règlement est de garantir aux citoyens un bon niveau de protection de leurs données personnelles.
Comment faire ?
Il convient d’abord d’organiser dans chaque entreprise un inventaire des fichiers existants et des informations (données personnelles) qu’ils contiennent – Clients, Prospects, Fournisseurs, Salariés, Candidats… Quelles sont les informations qui sont vraiment utiles au fonctionnement de la structure ? Quelles sont les informations obsolètes ou inutiles ? Quelles sont les informations à actualiser ?
La CNIL propose un modèle de formulaire : https://www.cnil.fr/fr/modele/mention/formulaire-de-collecte-de-donnees-personnelles
Il convient ensuite de faire le tri et d’en profiter pour optimiser les pratiques en rédigeant par exemple un mode opératoire pour chaque service concerné par la gestion d’un fichier et en ne retenant que les informations pertinentes. Pensez à conserver trace de tout ce travail d’audit et de mise à jour.
Puis, dans votre démarche de contact avec les tiers pour lesquels vous constituez un fichier, vous devez informer et permettre aux personnes d’exercer leurs droits.
Enfin, vous devez sécuriser vos données – sécurité informatique en interne et dans les échanges avec les éventuels sous-traitants utilisés pour traiter ces données personnelles.
Pour en savoir plus, ci-après un guide, auquel la CNIL a collaboré : https://www.cnil.fr/sites/default/files/atoms/files/bpi-cnil-guide-rgpd-tpe-pme.pdf
Paradoxes !
A l’heure où le BIG DATA se développe, où l’intelligence artificielle apprend à aller chercher, mixer et reconnaître les données utiles à l’entreprise, ce règlement européen limite l’accès à l’information. Certes, il s’agit de protéger les données personnelles, mais les réseaux sociaux ne les mettent elles pas à disposition en accès libre !
Dans le même temps, le système d’autorisation préalable qu’il fallait demander à la CNIL antérieurement quand on constituait un fichier de données personnelles, est supprimé – simplification ! Le nouveau système, venant de cette règlementation obligatoire, doit fonctionner en autorégulation. Ce qui n’exclut pas un niveau de sanctions très élevé – de 2 à 4% du CA !
Alors, on simplifie, puis on transfère aux structures et entreprises les responsabilités. A elles de s’organiser, avec à la clé de lourdes sanctions en cas d’infraction ! Nul n’est censé ignorer la Loi n’est-ce pas !
Ce RGDP oblige donc les entreprises à optimiser leurs pratiques et ajoute un nouveau risque et un peu plus de responsabilités!