Actualité paie

RGPD : conformité et obligations

24 novembre 2022 par Xavier THÉOLEYRE - Lecture 5 min.
RGPD

Depuis son entrée en vigueur en 2018, le Règlement Général sur la Protection des Données a demandé aux entreprises de s’adapter afin de prouver le consentement des internautes avec lesquels elles interagissent (cette adaptation visant principalement les « cookies » et les traceurs publicitaires). Comment s’assurer de la conformité de son entreprise au RGPD ? Réponse dans notre article.

Période transitoire et sursis additionnel du RGPD

Depuis sa mise en application, le RGPD a été sujet à différentes polémiques et controverses. Pour y répondre, la Commission Nationale Informatique et des Libertés (CNIL) a assuré une période transitoire de 12 mois, jusqu’en mai 20219.

Cette période de transition a permis à tous les acteurs de se mettre en conformité avec la politique de protection et de la sécurité des données personnelles.

L’autorité de protection a mis en place un plan d’action visant le ciblage publicitaire. Via le délais de transition, il a été plus facilement possible pour les acteurs publicitaires de se conformer aux règles de protection des données collectées.

Le 1er octobre 2019, la Cour de Justice de l’Union Européenne a décidé d’abolir le consentement par défaut pour favoriser un consentement actif et spécifique. De ce fait, les éditeurs web et publicitaires doivent eux-aussi se mettre en conformité et respecter le RGPD.

Comment être en conformité avec le RGPD ?

Depuis 2020, la CNIL procède à une vérification complète du respect des obligations légales du règlement européen. De ce fait, si l’entreprise possède un site internet, elle devra se mettre en conformité avec :

  • L’analyse d’impact ;
  • La portabilité des données ;
  • La tenue d’un registre des traitements et des violations.

Le RGPD s’appuie sur plusieurs points essentiels :

  • Le consentement ;
  • La transparence ;
  • Le droit des personnes ;
  • La responsabilité.

La notion de consentement doit être active, spécifique et informée. L’utilisateur devra donner son accord pour le traitement de ses données personnelles. Ce consentement doit pouvoir être retiré à tout moment.

A savoir :
Les entreprises « Business to Business », ou « BtoB », n’ont pas à demander ce consentement.

Le RGPD oblige également les organisations à fournir aux personnes concernées toutes les informations concernant le traitement des données collectées. L’objectif est d’avoir une transparence totale sur ce point.

De plus, certains droits des personnes doivent être impérativement respectés, notamment le droit à l’oubli et le droit à la portabilité des données. Ce droit permettra à l’utilisateur de :

  • Récupérer les informations fournies si besoin ;
  • Transférer les informations fournies à un tiers.

Le RGPD incombe aussi plusieurs responsabilités aux entreprises, à savoir :

  • Le traitement des données à caractère personnel ;
  • La sécurité des données collectées ;
  • Le principe du « privacy by design » ;
  • La sous-traitance et les prestations conformes aux RGPD ;
  • La nomination d’un « Data Protection Officer » (DPO), responsable de la protection et de la conformité des données de l’entreprise.

Tout manquement à ces responsabilités peut exposer l’entreprise à des sanctions.

Désignation d’un délégué à la protection des données personnelles

La gouvernance des données personnelles d’une organisation doit être centralisée auprès d’une personne centrale : le DPO. Ce délégué agit comme responsable du RGPD dans le sens où il aura pour mission d’informer, conseiller et contrôler tous les collaborateurs internes.

Il est impératif de réunir un comité de consultation et de prise de décision sur le RGPD dont le DPO fera évidemment partie. La désignation de ce délégué n’est toutefois pas une obligation légale. Elle reste néanmoins fortement recommandée pour toute structure comportant plus de 50 collaborateurs dont la gestion du RGPD est essentielle.

Le délégué à la protection des données personnelles se doit d’accomplir les missions suivantes :

  • Informer et conseiller le personnel en interne ;
  • Dialoguer avec les sous-traitant pour réunir les informations nécessaires ;
  • Communiquer sur la conformité de l’organisation auprès de la clientèle ;
  • Contrôler et vérifier le respect du règlement RGPD ;
  • Conseiller l’entreprise et préconiser des études d’impact pertinentes sur la gestion des données personnelles ;
  • Communiquer avec les autorités de contrôle et pouvoir répondre efficacement aux demandes de bonne conformité ;

Le DPO doit également pouvoir s’informer sur ses obligations, de se former à la méthodologie de mise en conformité, de réaliser un inventaire des traitement des données personnelles et de sensibiliser les responsables de chaque pôle pour mettre en place des actions efficaces.

Le RGPD prévoit que le DPO bénéficie d’une protection dans l’exercice de ses fonctions. En effet, il est stipulé qu’il « ne peut être relevé de ses fonction ou pénalisé pour l’exercice de ses missions » par l’employeur. Il doit pouvoir exercer ses fonctions en totale indépendant et ne pourrait être sanctionné pour l’exercice de sa mission de DPO. Cependant, il ne bénéficie pas du statut donné aux élus du personnels, délégués syndicaux et autres salariés protégés. Ainsi, le licenciement du DPO ne possédant pas d’autre statut professionnel ou qui ne s’acquitte pas de ces missions est autorisé. Il peut également être sanctionné ou licencié au motif de manquements au règlement interne de son entreprise (qui s’applique à tous les salariés), dans le cas où celui-ci soit compatible avec son indépendance de fonction garantie par le RGPD.

PIA et identification des risques

Une fois les différents traitements de données identifiés et organisés, une analyse d’impact pour les données sensibles est à effectuer. Cette analyse d’impact sur la protection des données personnelles est nommée PIA (pour Privacy Impact Assesment), et conditionnera les futurs traitements des données.

Le PIA se présente sous la forme d’une étude visant à définir des traitements de données respectant la vie privée des personnes. Cette étude est essentielle car elle permet de garantir une bonne partie de la conformité au RGPD.

L’étude se compose d’outils d’évaluation avec deux grands axes principaux, à savoir :

  • Les principes et droits fondamentaux non négociables fixés par la loi, non modulables quelles que soient les circonstances ;
  • La gestion des risques sur la vie privée, en déterminant les risques possibles sur les données personnelles et les mesures pour les contrer.

Ainsi, l’analyse PIA doit contenir :

  • Une description du traitement étudié et des finalités ;
  • L’évaluation de la nécessité et de la proportionnalité des traitements sur les données au regard des finalités ;
  • Une évaluation des risques pour les droits et libertés des personnes et lister les mesures de protection face aux risques.

Le PIA doit être réalisé avant tout mise en place de traitement de données. Les analyses d’impact se doivent d’être revues régulièrement pour pouvoir corriger les mesures mises en place, notamment en cas de changements majeurs sur l’exécution des traitements. Ce sont aux personnes suivantes de se charger de l’analyse :

  • Le responsable de traitement, qui valide le plan d’analyse d’impact et s’engage à mettre en œuvre le plan d’action défini ;
  • Le DPO qui élabore le plan d’action et garantit son exécution ;
  • Les différents sous-traitants, qui fournissent les informations nécessaires à l’élaboration du PIA ;
  • Les responsables métiers, qui fournissent les éléments nécessaires ;
  • Les personnes concernées par le PIA, qui donne leur avis sur les traitements réalisés.

A savoir :
Le PIA est obligatoire pour tous les traitements engendrant des risques élevés pour les droits et libertés des personnes, soit dès lors qu’un traitement concerne des données sensibles. Une liste de neuf critères d’évaluation a été définie pour déterminer si un PIA est obligatoire sur un traitement. A partir de deux critères sur neuf, le PIA devient obligatoire. 

Documentation des actions entreprises

Pour respecter le RGPD, une des étapes clés est la documentation de la conformité. Il est nécessaire de constituer et rassembler tous les différents éléments gravitant autour du RGPD dans un dossier unique. Ce-dernier devra être réévalué et actualisé de manière régulière pour suivre la vie des traitements et toutes modifications qui pourraient intervenir. Ce dossier se compose des éléments suivants :

  • Les documents sur le traitement des données personnelles :
    • Registre des traitements ou des catégories d’activités de traitements ;
    • Analyse d’impact sur la protection des données ;
    • Encadrement des transferts en cas de traitement hors de l’UE ;
  • Les informations aux personnes propriétaires des données personnelles traitées :
    • Mentions d’information ;
    • Recueil du consentement des personnes concernées ;
    • Procédures pour l’exercice des droits de rectification et rétractation.
  • Les contrats définissant les rôles et responsabilités des acteurs :
    • Contrats avec les sous-traitants et clauses de confidentialité ;
    • Procédures internes en cas de violation de données ;
    • Preuves de consentement des personnes concernées si le traitement de leurs données repose sur cette base.

Une fois tous ces éléments rassemblés, le dossier démontre la conformité de l’organisation au RGPD.

Tags:

Sur le même sujet

apprentissage
Actualité paie
Apprentissage : une aide financière à l’embauche 6 décembre 2022

Votre entreprise souhaite embaucher un apprenti ? Pour vous aider, le Ministère du Travail a annoncé en juillet 2020 la mise en place d’une aide exceptionnelle à l’embauche d’un apprenti. Cette aide est intervenue dans une contexte d’aide aux entreprises afin de mettre en avant l’apprentissage malgré la situation économique difficile. Prévu initialement jusqu’au 31 […]

cdi intérimaire
Actualité paie
Tout comprendre sur le CDI intérimaire (CDII) 22 novembre 2022

Dans le cadre de la loi pour la liberté de choisir son avenir professionnel, le CDI intérimaire (CDII) a été enfin reconnu et adopté par l’Assemblée Nationale en date de 25 juillet 2018. Dorénavant, ce type de contrat de travail permet de garantir la sécurité d’emploi des salariés intérimaires tout en contribuant à l’emploi durable. […]

Prime Macron : prolongement en 2021
Actualité paie
Prime Macron et Prime de Partage de la Valeur 15 novembre 2022

Versée depuis 2019, la prime Macron permet au entreprises de soutenir et remercier leurs salariés pour leur investissement tout au long de l’année. En 2020, elle a également été un moyen de reconnaissance pour les efforts de ceux qui ont continué de travailler pendant la crise sanitaire. Reconduite en 2021, cette prime exceptionnelle pour le […]

FacebookTwitterLinkedInEmail