Actualité paie

RGPD : conformité et obligations

3 décembre 2021 par Xavier THÉOLEYRE - Lecture 5 min.
RGPD

Depuis son entrée en vigueur en 2018, le Règlement Général sur la Protection des Données a demandé aux entreprises de s’adapter afin de prouver le consentement des internautes avec lesquels elles interagissent (cette adaptation visant principalement les « cookies » et les traceurs publicitaires). Comment s’assurer de la conformité de son entreprise au RGPD ? Réponse dans notre article.

Période transitoire et sursis additionnel du RGPD

Depuis sa mise en application, le RGPD a été sujet à différentes polémiques et controverses. Pour y répondre, la Commission Nationale Informatique et des Libertés (CNIL) a assuré une période transitoire de 12 mois.

Cette période de transition a permis à tous les acteurs de se mettre en conformité avec la politique de protection et de la sécurité des données personnelles.

L’autorité de protection a mis en place un plan d’action visant le ciblage publicitaire. Via le délais de transition, il a été plus facilement possible pour les acteurs publicitaires de se conformer aux règles de protection des données collectées.

Le 1er octobre 2019, la Cour de Justice de l’Union Européenne a décidé d’abolir le consentement par défaut pour favoriser un consentement actif et spécifique. Cette décision entrera en vigueur à la fin de la période de transition. De ce fait, les éditeurs web et publicitaires doivent eux-aussi se conformer et respecter le RGPD.

Comment être en conformité avec le RGPD ?

Depuis 2020, la CNIL procède à une vérification complète du respect des obligations légales du règlement européen. De ce fait, si l’entreprise possède un site internet, elle devra se mettre en conformité avec :

  • L’analyse d’impact ;
  • La portabilité des données ;
  • La tenue d’un registre des traitements et des violations.

Le RGPD s’appuie sur plusieurs points essentiels :

  • Le consentement ;
  • La transparence ;
  • Le droit des personnes ;
  • La responsabilité.

La notion de consentement doit être active, spécifique et informée. L’utilisateur devra donner son accord pour le traitement de ses données personnelles. Ce consentement doit pouvoir être retiré à tout moment.

A savoir :
Les entreprises « Business to Business », ou « BtoB », n’auront pas à demander ce consentement.

Le RGPD oblige également les organisations à fournir aux personnes concernées toutes les informations concernant le traitement des données collectées. L’objectif est d’avoir une transparence totale sur ce point.

De plus, certains droits des personnes doivent être impérativement respectés, notamment le droit à l’oubli et le droit à la portabilité des données. Ce droit permettra à l’utilisateur de :

  • Récupérer les informations fournies si besoin ;
  • Transférer les informations fournies à un tiers.

Le RGPD incombe aussi plusieurs responsabilités aux entreprises, à savoir :

  • Le traitement des données à caractère personnel ;
  • La sécurité des données collectées ;
  • Le principe du « privacy by design » ;
  • La sous-traitance et les prestations conformes aux RGPD ;
  • La nomination d’un « Data Protection Officer » (DPO), responsable de la protection et de la conformité des données de l’entreprise.

Tout manquement à ces responsabilités peut exposer l’entreprise à des sanctions.

Désignation d’un délégué à la protection des données personnelles

La gouvernance des données personnelles d’une organisation doit être centralisée auprès d’une personne centrale : le DPO. Ce délégué agit comme responsable du RGPD dans le sens où il aura pour mission d’informer, conseiller et contrôler tous les collaborateurs internes.

Il est impératif de réunir un comité de consultation et de prise de décision sur le RGPD dont le DPO fera évidemment partie. La désignation de ce délégué n’est toutefois pas une obligation légale. Elle reste néanmoins fortement recommandée pour toute structure comportant plus de 50 collaborateurs dont la gestion du RGPD est essentielle.

Le délégué à la protection des données personnelles se doit d’accomplir les missions suivantes :

  • Informer et conseiller le personnel en interne ;
  • Dialoguer avec les sous-traitant pour réunir les informations nécessaires ;
  • Communiquer sur la conformité de l’organisation auprès de la clientèle ;
  • Contrôler et vérifier le respect du règlement RGPD ;
  • Conseiller l’entreprise et préconiser des études d’impact pertinentes sur la gestion des données personnelles ;
  • Communiquer avec les autorités de contrôle et pouvoir répondre efficacement aux demandes de bonne conformité ;

Le DPO doit également pouvoir s’informer sur ses obligations, de se former à la méthodologie de mise en conformité, de réaliser un inventaire des traitement des données personnelles et de sensibiliser les responsables de chaque pôle pour mettre en place des actions efficaces.

PIA et identification des risques

Une fois les différents traitements de données identifiés et organisés, une analyse d’impact pour les données sensibles est à effectuer. Cette analyse d’impact sur la protection des données personnelles est nommée PIA (pour Privacy Impact Assesment), et conditionnera les futurs traitements des données.

Le PIA se présente sous la forme d’une étude visant à définir des traitements de données respectant la vie privée des personnes. Cette étude est essentielle car elle permet de garantir une bonne partie de la conformité au RGPD.

L’étude se compose d’outils d’évaluation avec deux grands axes principaux, à savoir :

  • Les principes et droits fondamentaux non négociables fixés par la loi, non modulables peu importe les circonstances ;
  • La gestion des risques sur la vie privée, en déterminant les risques possibles sur les données personnelles et les mesures pour les contrer.

Ainsi, l’analyse PIA doit contenir :

  • Une description du traitement étudié et des finalités ;
  • L’évaluation de la nécessité et de la proportionnalité des traitements sur les données au regard des finalités ;
  • Une évaluation des risques pour les droits et libertés des personnes et lister les mesures de protection face aux risques.

Le PIA doit être réalisé avant tout mise en place de traitement de données. Les analyses d’impact se doivent d’être revues régulièrement pour pouvoir corriger les mesures mises en place, notamment en cas de changements majeurs sur l’exécution des traitements. Ce sont aux personnes suivantes de se charger de l’analyse :

  • Le responsable de traitement, qui valide le plan d’analyse d’impact et s’engage à mettre en oeuvre le plan d’action défini ;
  • Le DPO qui élabore le plan d’action et garantit son exécution ;
  • Les différents sous-traitants, qui fournissent les informations nécessaires à l’élaboration du PIA ;
  • Les responsables métiers, qui fournissent les éléments nécessaires ;
  • Les personnes concernées par le PIA, qui donne leur avis sur les traitements réalisés.

A savoir :
Le PIA est obligatoire pour tous les traitements engendrant des risques élevés pour les droits et libertés des personnes, soit dès lors qu’un traitement concernent des données sensibles. Une liste de neuf critères d’évaluation a été défini pour déterminer si un PIA est obligatoire sur un traitement. A partir de deux critères sur neuf, le PIA devient obligatoire. 

Documentation des actions entreprises

Pour respecter le RGPD, une des étapes clés est la documentation de la conformité. Il est nécessaire de constituer et rassembler tous les différents éléments gravitant autour du RGPD dans un dossier unique. Ce-dernier devra être réévalué et actualisé de manière régulière pour suivre la vie des traitements et toutes modifications qui pourraient intervenir. Ce dossier se compose des éléments suivants :

  • Les documents sur le traitement des données personnelles :
    • Registre des traitements ou des catégories d’activités de traitements ;
    • Analyse d’impact sur la protection des données ;
    • Encadrement des transferts en cas de traitement hors de l’UE ;
  • Les informations aux personnes propriétaires des données personnelles traitées :
    • Mentions d’information ;
    • Recueil du consentement des personnes concernées ;
    • Procédures pour l’exercice des droits de rectification et rétractation.
  • Les contrats définissant les rôles et responsabilités des acteurs :
    • Contrats avec les sous-traitants et clauses de confidentialité ;
    • Procédures internes en cas de violation de données ;
    • Preuves de consentement des personnes concernées si le traitement de leurs données repose sur cette base.

Une fois tous ces éléments rassemblés, le dossier démontre la conformité de l’organisation au RGPD.

Tags:

Sur le même sujet

Assurance chômage 2021 : quels changements ?
Actualité paie
Assurance chômage 2021 : quels changements ? 2 décembre 2021

La réforme de l’assurance chômage a précédemment engendré un grand nombre de changements. Même si la plupart d’entre eux sont entrés en vigueur en 2019, d’autres nouveautés interviennent en 2021. La réforme est finalement entrée intégralement en vigueur le 1er octobre 2021, avec des dispositions qui pourront encore évoluer d’ici décembre 2021 selon évolution de […]

vaccination entreprise
Actualité paie
Covid 19 : impact de la vaccination obligatoire pour les entreprises 29 novembre 2021

Le 12 juillet 2021, le Président de la République a annoncé son intention de rendre la vaccination contre le Covid obligatoire dans les secteurs où les salariés seraient au contact de personnes vulnérables. De ce fait, la vaccination en entreprise pourrait devenir obligatoire dans certains secteurs. Il est ainsi légitime pour les employeurs de se […]

Coûts fixes
Actualité paie
Coûts fixes : fin du dispositif et nouvelle aide « rebond » 24 novembre 2021

Lors de la conférence de presse du 10 mars 2021, le Ministre de l’Économie Bruno Le Maire et le Ministre délégué chargé des PME Alain Griset ont présenté une nouvelle aide destinée à soutenir les entreprises impactées financièrement par la crise sanitaire. Depuis le 31 mars 2021, les entreprises concernées peuvent bénéficier du nouveau dispositif […]

FacebookTwitterLinkedInEmail