1. BPERC - 44 rue blanche - 75009 PARIS – 01.49.70.77.77 Actualités Mai 2018
ACTUALITES :
LE RGPD : le nouveau casse-tete
des entreprises
1- RGPD : Mais qu’est-ce que c’est ??
C’est Le Règlement Général sur la Protection des Données dit « RGPD »
Le but de ce Règlement : Garantir une meilleure maîtrise des données personnelles.
La Conséquence pour les Entreprises : Chaque entreprise, quelle que soit sa taille et son secteur
d’activité, va devoir modifier ses réflexes existants sur le recueil, le traitement et la conservation des
données personnelles, qu’elles soient numériques ou sous format papier.
La sanction en cas de non-respect : Elle peut aller jusqu’à 4% du Chiffre d’affaire annuel
Applicable à compter de quand : Le 25 mai 2018….. c’est-à-dire demain …. !!
2- Une donnée personnelle c’est quoi ?
Une donnée personnelle est toute information relative à une personne physique
identifiée ou qui peut être identifiée, directement ou indirectement, par référence à
un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres.
Directement, c’est-à-dire toutes informations sur : un nom, une adresse, un
identifiant en ligne, un ou plusieurs éléments spécifiques propres à l'identité
physique, physiologique, économique... d'une personne. Ex : Les données professionnelles d'une personne (telle
que sa carte de visite) sont considérées comme des données personnelles.
Indirectement, comme par exemple un matricule, numéro de sécurité social, empreinte digitale (etc..) ou par
recoupements d’informations.
2. BPERC - 44 rue blanche - 75009 PARIS – 01.49.70.77.77 Actualités Mai 2018
3- Qu’est-ce qu’un traitement de données personnelles ?
C’est une opération portant sur des données personnelles, quel que soit le procédé utilisé (collecte, enregistrement,
organisation, etc …) Exemple : tenue d’un fichier client, collecte de coordonnées de prospects via un questionnaire,
mise à jour d’un fichier fournisseur, etc …
Par contre un fichier ne contenant que des coordonnées d’entreprises n’est pas un traitement de données
personnelles.
4- Comment faire pour passer à l’action ?
Étape 1 : désigner un Délégué à la protection des données (DPO)
Cette personne sera en charge de tout ce qui a trait aux données personnelles pour l’entreprise.
Obligatoire dans 2 situations :
- Lorsque vos activités de base vous amènent à réaliser un suivi à grande échelle, régulier et systématique des
personnes,
- Lorsque vos activités de base vous amènent à traiter à grande échelle des données dites "sensibles" (orientation
sexuelle, convictions religieuses, données biométriques, génétiques ou de santé, origine raciale ou ethnique, etc),
ou relatives à des condamnations pénales et infractions.
Sinon vivement recommandé
Il est possible de faire appel à un DPO externe. Il peut aussi être mutualisé entre plusieurs organismes ou
au sein d’associations ou de fédérations professionnelles.
Pour en savoir plus : « Dossier le délégué à la protection des données » sur le site de la CNIL.
Étape 2 : établir un registre des données personnelles utilisées dans l'entreprise
But : Faire une « photographie » des données personnelles collectées et traitées par l’entreprise, qu’elles le soient
par voie informatique ou papier. De savoir quelles données sont utilisées et par quels services. Le registre peut
être informatique ou papier.
Dans ce registre, il faut créer une fiche pour chaque activité qui nécessite la collecte et le traitement de données, en
précisant : l'objectif poursuivi ; les catégories de données utilisées ; qui a accès aux données ; la durée de
conservatoire de ces données.
Il existe un modèle sous format excel sur le site de la Cnil
3. BPERC - 44 rue blanche - 75009 PARIS – 01.49.70.77.77 Actualités Mai 2018
Étape 3 : analyser les données du registre
Il faut vérifier pour chaque traitement :
- les circonstances de collecte des données : le consentement a-t- il été obtenu ?
- l'information délivrée aux personnes faisant l'objet de la collecte et du traitement : les personnes ont- elles
été informées lors de la collecte de la finalité du traitement de celles-ci et de leurs droits ?
La Cnil prépare des modèles de mentions d’informations pour les PME
- la nature des données collectées au regard de la finalité : seules les données strictement nécessaires au
traitement et à la finalité recherchée peuvent être collectées et traitées.
Précisions de la Cnil : Pour les fichiers existants : les entreprises qui ont accompli une déclaration de conformité à
la Norme Cnil relative aux fichiers clients-prospects et vente en ligne (dite Norme NS-048) ou autres normes
relatives à la gestion des salariés (gestion administrative, badgeuse, gestion de flottes de véhicules, etc ..) n’auront
pas, pendant 3 ans, à réaliser une étude d’impact.
Étape 4 : mettre en place des mesures pour sécuriser les données et sensibiliser tous les
salariés de l'entreprise
Après avoir fait le registre il faut agir !
Comment ? Quelques pistes :
- Informer les salariés des démarches en cours dans l’entreprise pour se conformer
au RGPD
(La Cnil propose sur son site un modèle de courrier à l’attention des salariés)
- Indiquer dans les documents de collecte notamment, la finalité de cette collecte et
du traitement prévu et les droits des personnes
Des mentions d’informations seront bientôt proposées par la Cnil
- Laisser à la personne la possibilité de s’opposer au traitement indiqué
-
- Indiquer les coordonnés de l’interlocuteur à contacter pour que la personne
puisse faire valoir ses droits de modification et de suppression
-
- Prévoir un lien de désinscription à chaque newsletter envoyée
-
- Prévoir la sécurisation des locaux dans lesquels les données sont conservées
- Etc
4. BPERC - 44 rue blanche - 75009 PARIS – 01.49.70.77.77 Actualités Mai 2018
Étape 5 : donner l'accès à la donnée et permettre sa portabilité
Le droit à la portabilité offre aux personnes la possibilité de récupérer une partie de leurs données dans un format
ouvert et lisible par machine.
Elles peuvent ainsi les stocker et les transmettre facilement d'un système d'information à un autre, en vue de leur
réutilisation à des fins personnelles.
Étape 6 : mener une analyse d'impact relative à la protection des données (DPIA) pour
certains traitements strictement définis
Cette analyse est obligatoire dès lors qu'il y a combinaison de deux des critères suivants :
- évaluation ou notation ;
- décision automatisée avec effet juridique ou effet
similaire significatif ;
- surveillance systématique ;
- données sensibles ou données à caractère hautement
personnel ;
- données personnelles traitées à grande échelle ;
- croisement d'ensembles de données ;
- données concernant des personnes vulnérables ;
- usage innovant ou application de nouvelles solutions
technologiques ou organisationnelles ;
- exclusion du bénéfice d'un droit, d'un service ou
contrat.
L'analyse d'impact permet d'évaluer, en particulier, l'origine, la nature, la particularité et la gravité du risque pour les
droits et libertés des personnes concernées.
La Cnil met un logiciel dédié à disposition : www.cnil.fr/fr/outil-pia-telechargez-et-installez-le-logiciel-de-la-cnil
Étape 7 : programmer la suppression des données
Le RGPD impose de procéder à la suppression des données personnelles dès lors qu'elles ne sont plus
nécessaires au regard de la finalité en application du principe de durée de conservation limité en prévoyant des
délais de suppression des données, en fonction de chaque fichier.
5. BPERC - 44 rue blanche - 75009 PARIS – 01.49.70.77.77 Actualités Mai 2018
Étape 8 : réagir immédiatement en cas d'atteinte / de risque d'atteinte aux données
personnelles
Dès lors qu'une violation de données est portée à la connaissance de
l'entreprise et que celle-ci a un impact sur des données personnelles, la CNIL
doit être informée dans les 72h.
Pour en savoir plus ou pour vous aider :
« Guide sécurité des données personnelles » sur le site internet de la CNIL
En cas de difficultés (sinistre, attaque informatique,, etc ..) le site gouvernementale
www.cybermalveillance.gouv.fr vous propose de l’aide en ligne ainsi qu’une liste de prestataires
approuvés.
Nous restons naturellement à votre entière disposition pour tout complément d’information sur le sujet.
Marilyne ROHOU Frédéric LEPRETRE Laïaché LAMRANI
Expert-comptable associée Expert-comptable associé Expert-comptable associé
Commissaire aux comptes Master Droit des Affaires