RGPD et professionnels, quels réflexes adopter ? L’entrée en vigueur de ce règlement en 2018 a induit de nombreuses obligations pour les organismes, dès lors qu’ils traitent des données personnelles de résidents de l’UE. Définir et se tenir à une finalité, rester transparent, limiter la conservation des données et garantir leur sécurité sont désormais des réflexes indispensables à adopter en entreprise. 

Le RGPD, qu’est-ce que c’est ?

Le Règlement Général sur la Protection des Données, ou RGPD, est un règlement européen. Il érige un cadre légal sur la question de la protection des données personnelles dans toute l’Union européenne. Son application s’étend même au-delà puisque toute entité étrangère traitant les données personnelles de résidents de l’UE doit respecter le RGPD, y compris si ce traitement se déroule en dehors de ses frontières. 

Le texte a été adopté en 2016 par le Parlement européen, avant d’entrer en vigueur en 2018. Il fait suite à la loi française du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, qu’il vient consolider. En effet, avec les évolutions majeures des technologies et l’amplification de leur usage dans nos sociétés, il était devenu nécessaire d’ajuster le cadre juridique en conséquence. 

Ainsi, le RGPD renforce la protection des citoyens de l’UE dont les données personnelles sont collectées et stipule les droits relatifs pouvant s’exercer (accès aux informations, droit de rectification…). Il octroie de multiples obligations aux personnes responsables du traitement de ces données, telles que le devoir de tenir un registre. En offrant un encadrement juridique unique aux professionnels, ledit règlement assure aussi une harmonisation des règles dans toute l’Union européenne. 

À savoir

La Commission Nationale de l’Informatique et des Libertés (CNIL), créée par la loi Informatique et Libertés de 1978, est une autorité administrative indépendante en charge de veiller à la protection des données personnelles (informatique et papier).

RGPD et professionnels : à partir de quand cela les concerne-t-il ?

Le Règlement Général sur la Protection des Données s’applique à toutes les organisations (entreprises, collectivités, associations…) dès lors qu’elles traitent des données personnelles pour leur propre utilisation ou non. Elles ont alors pour obligation de garantir la protection de ces informations. Aussi, indépendamment de leurs pays de résidence, de leurs activités ou de leurs tailles, cela concerne les organismes privés ou publics à partir du moment où :

  • Ils sont implantés dans l’UE.
  • Et/ou que leurs activités requièrent le traitement de données de résidents de l’UE.

Ainsi, une compagnie implantée aux États-Unis à la tête d’un site de vente de produits en ligne dédiés aux Français devra respecter le RGPD. Autre exemple : une entreprise française exportant ses produits à des clients résidents d’un pays hors de l’Union devra aussi respecter le règlement.

En outre, le texte s’applique aussi aux sous-traitants qui manipulent lesdites données personnelles.

RGPD et professionnels : quelles obligations pour les entreprises ?

Établir une finalité précise pour la récolte des données personnelles

Toute entreprise collectant les données doit le faire selon une finalité bien particulière, déterminée en amont et légitime. Cela signifie que la compagnie doit explicitement établir ce à quoi servira l’information récupérée. Par ailleurs, la façon dont elle traitera ces informations ultérieurement devra obligatoirement être compatible avec la finalité initialement prévue. 

C’est là le but du registre des activités de traitement. Les sociétés traitant des données personnelles doivent obligatoirement remplir ce document. Les informations suivantes doivent notamment y figurer :

  • Les parties prenantes.
  • La catégorie à laquelle les données traitées appartiennent.
  • Le but de ces données, qui peut y accéder et à qui elles seront éventuellement communiquées.
  • Le temps de conservation.
  • La manière dont elles sont sécurisées. 

Cela limite notamment des collectes de données sans but précis, seulement « au cas où ». Un principe majeur entre ici en jeu : celui de la minimisation. Il limite la récupération des informations au strict nécessaire pour la réalisation de l’objectif de la compagnie. 

Être transparent quant à l’utilisation des données

Les clients d’une entreprise (et toute autre personne concernée) doivent toujours conserver la maîtrise de leurs données personnelles. En ce sens, le RGPD impose aux compagnies d’informer toutes les personnes impliquées de façon claire, complète et précise sur : 

  • La raison de leur collecte.
  • Leur utilisation.

D’autre part, la société devra impérativement communiquer leurs droits à ces personnes, ainsi que leurs modalités d’exercice. 

Enfin, il est strictement interdit de collecter des données personnelles à l’insu d’un individu.

RGPD et professionnels : respecter le droit des personnes

Toute entreprise (ou organisme) traitant des données personnelles devra également mettre en place un système qui facilite l’exercice des droits des personnes. Ces dernières devront notamment pouvoir consulter leurs informations, les rectifier, les supprimer ou encore s’y opposer

Pour ce faire, une adresse électronique dédiée devra être déployée. 

Le responsable en charge du traitement des données a pour mission d’expliquer aux individus concernés la procédure d’exercice concret de leur droit en répondant aux questions : où s’adresser, à qui et comment ?

Enfin, le responsable dispose d’un délai imparti d’une durée d’un mois pour répondre aux demandes.

Délimiter des durées précises de conservation

Les détenteurs des données ne peuvent les conserver indéfiniment. En effet, les informations collectées doivent suivre un cycle spécifique qui se déroule en trois phases. 

D’abord la conservation dite « en base active ». Ici, on ne peut conserver les données que le temps strictement nécessaire à l’atteinte de la finalité à l’origine de leur enregistrement. À ce stade, elles sont aisément accessibles pour les individus en charge de leur traitement.

Ensuite, lorsqu’elles ont atteint leur objectif, les informations récoltées passent en phase d’archivage intermédiaire. Elles ne peuvent dès lors plus être utilisées au titre de la finalité visée, mais restent nécessaires à l’entreprise d’un point de vue administratif. Par exemple, selon le Code du commerce, les données de facturation doivent être conservées dix ans. Leur consultation par l’entreprise qui les possède est limitée et seuls certains collaborateurs habilités ont un droit d’accès.

Enfin, vient la phase de l’archivage définitif. À ce moment, les données pourront aussi être détruites ou anonymisées, selon les règles légales applicables.

Attention, les étapes 2 et 3 ne sont mises en place qu’en cas de nécessité avérée. Et, quoi qu’il arrive, un tri s’opère à chacune des phases.

À noter :

La CNIL a créé des outils spécifiques pour aider les professionnels concernés par le RGPD à définir les durées de conservation. 

Garantir la sécurité des données

Tout organisme traitant des données à caractère personnel se doit de prendre les mesures nécessaires à leur protection. La sécurité doit être assurée tant au niveau informatique (droits d’accès, etc.) que physique (locaux sécurisés, meubles fermant à clé pour les données sensibles, etc.). 

Il faut également qu’il identifie les risques afin d’adapter le type de mesures mises en œuvre. 

À noter

La mise en conformité doit s’adapter aux éventuelles évolutions du RGPD. Il est donc du ressort des organismes de se tenir informer.