Le blog des gestionnaires de paie et des experts des RH

Paie pratique

RGPD : 6 étapes de mise en conformité pour les PME

19 avril 2018 par Frédéric Malot - Lecture 5 min.

Le nouveau Règlement Européen pour la Protection des Données (RGPD) entre en application le 25 mai 2018. Les entreprises doivent donc se mettre rapidement en conformité pour éviter les sanctions (jusqu’à 4% du CA). Dirigeant de PME, l’imminence de l’entrée en application du RGPD vous angoisse ? Voici 6 étapes clés pour organiser votre mise en conformité et gagner un temps précieux.

RGPD

1. DESIGNER UN RESPONSABLE DU CHANTIER RGPD

Pour piloter la gouvernance des données personnelles de votre structure, vous devez designer une personne qui se charge d’organiser tous les actions à mener. Véritable « chef d’orchestre »de la protection des données traitées par l’entreprise, il est l’élément pivot pour comprendre et respecter les obligations du règlement, dialoguer avec les autorités de protection des données et réduire les risques de contentieux. Ses principales missions sont:

  • de diffuser en interne de l’information sur les contenus des nouvelles obligations;
  • de sensibiliser les décideurs sur l’impact de ces nouvelles règles à tous les niveaux;
  • de réaliser l’inventaire des traitements de données de l’entreprise;
  • de concevoir des actions de sensibilisation pour les salariés;
  • de piloter la conformité en continu.

Dans certains cas, le nouveau règlement européen impose même l’obligation de designer un DPO (délégué à la protection des données ou Data Protection Officer). C’est les cas pour les organismes publics par exemple. Mais votre entreprise doit le faire aussi si son activité de base l’amène à réaliser un suivi régulier et systématique des personnes à grande échelle ou à traiter à grande échelle des données dites « sensibles » (afférentes à la santé, à la religion etc.) ou relatives à des condamnations pénales et à des infractions.

Si vous avez déjà nommé un correspondant informatique et libertés (Cil), vous pouvez faire monter ce dernier en compétences. D’autres options : recruter une personne dédiée ou externaliser cette fonction auprès de prestataires spécialisés.

Enfin, même si votre organisation n’est pas formellement dans l’obligation de désigner un DPO, il est fortement recommandé de désigner un responsable pour ce chantier structurant, disposant de relais internes et chargé de s’assurer de la mise en conformité au RGPD (les étapes suivantes).

2. CARTOGRAPHIER LES TRAITEMENTS DE DONNÉES PERSONNELLES

La seconde étape consiste à mesurer concrètement l’impact du règlement européen sur la protection des données que vous traitez. A cette fin, il faut passer en revue l’ensemble des traitements de données personnelles, informatisées ou non (archives papier), issus des différentes activités de votre entreprise : recrutement, gestion de la paye, formation, gestion des badges et des accès, statistiques de ventes, gestion des clients et prospects etc. Il s’agit en fait d’identifier tous les processus concernés par le RGPD afin d’avoir une vision d’ensemble sur vos traitements de données.

Ce travail préliminaire servira à élaborer un registre des traitements des données qui pourra être demandé à tout moment par l’autorité nationale pour la protection des données, la Commission nationale de l’informatique et des libertés (Cnil) en France. Ce registre est placé sous la responsabilité du dirigeant de l’entreprise.

Pour avoir un registre exhaustif et à jour, dans ce-ci vous devez créer une fiche pour chaque activité recensée, en précisant :

  • la finalité de l’action (par exemple, la fidélisation client);
  • les données utilisées (exemple pour la paie : nom, prénom, NIR, salaire etc.);
  • qui a accès aux données (les différents services / salariés de l’entreprise);
  • la durée de conservation des données du point de vue opérationnel et en archive.

3. ÉTABLIR UN PLAN D’ACTIONS

Sur la base de ce registre des traitements, un plan d’actions doit être mis œuvre. Votre entreprise doit identifier les actions à mener pour vous conformer aux obligations actuelles et à venir et profiter de ce nouveau règlement pour améliorer les pratiques en interne. Elle doit notamment :

  • engager des travaux informatiques pour la sécurisation des données les plus critiques de type anonymisation ou chiffrement;
  • revoir les modalités d’exercice des droits des individus concernés, du recueil du consentement ou de mettre en œuvre le « droit à l’oubli »;
  • redéfinir les droits d’accès : s’assurer que seules les personnes habilitées ont accès aux données dont elles ont besoin;
  • minimiser la collecte de données, automatiser l’archivage au bout d’une certaine durée dans toutes les applications et ne pas conserver des données au-delà de qui est nécessaire.

Toutes ces actions doivent être priorisées au regard des risques que font peser vos traitements sur les droits et les libertés des personnes concernées. Ce travail peut souvent entraîner une révision en profondeur de la politique de confidentialité de l’entreprise.

Par ailleurs, la conformité concerne aussi les sous-traitants et les partenaires de l’entreprise, co-responsables au regard du RGPD. Les contrats fournisseurs devront comprendre une clause précisant leurs nouvelles obligations et responsabilités. Cela concerne également les prestataires basés hors de l’Union Européenne s’ils gèrent des données de citoyens européens.

4. MENER UNE ÉTUDE D’IMPACT

Une des premières actions à mettre en œuvre si vous avez identifié des traitements de données personnelles susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes concernées c’est de mener, pour chacun de ces traitements, une analyse d’impact sur la protection des données (PIA pour Privacy Impact Assessment). Il s’agit également d’une action venant en complément de la cartographie des données : après avoir recensé tous vos traitements de données personnelles, vous calculez ensuite leur niveau de conformité en les soumettant à une étude d’impacts.

Bon à savoir : la Cnil indique cependant que, « dans un souci de simplicité et d’accompagnement », elle n’exigera pas la réalisation immédiate d’une analyse d’impact pour les traitements qui ont régulièrement fait l’objet d’une formalité préalable auprès d’elle avant le 25 mai (récépissé, autorisation, avis de la Cnil), ou qui ont été consignés au registre d’un correspondant informatique et libertés.

5. DÉFINIR LE CADRE DE GOUVERNANCE ET LES PROCESSUS

Pour prouver votre conformité au règlement, vous devez constituer et regrouper la documentation nécessaire. Les actions et documents réalisés à chaque étape doivent être réexaminés et actualisés régulièrement pour assurer une protection des données en continu.

Il s’agit donc d’inscrire votre plan d’actions dans la durée. Pour cela, il convient de mettre en place la gouvernance spécifique visant à garantir l’intégrité des données que vous traitez tout au long du processus, de la collecte à sa suppression. Quelques questions à vous poser dans ce sens :

  • Comment assurer le plus haut niveau de protection dès la conception d’un nouveau traitement (le principe « privacy by design » du RGPD) ?
  • Comment seront traitées les demandes des personnes faisant valoir l’exercice de leurs droits ?
  • Quelle est la chaîne de responsabilités en cas de fuite de données sachant qu’en principe la Cnil doit être alertée sous 72 h ?

Ce cadre de gouvernance implique également la mise en place de procédures internes qui garantissent la protection des données à tout moment, en prenant en compte l’ensemble des événements qui peuvent survenir au cours de la vie d’un traitement de données personnelles. Il faut définir les acteurs et les modalités pour chaque processus.

6. SENSIBILISER LES COLLABORATEURS À LA PROTECTION DES DONNÉES

La notion de respect de la vie privée doit être partagée par tous les salariés de l’entreprise. Une partie très importante de la préparation au RGPD est la sensibilisation de vos salariés. Ils travaillent tous au quotidien avec des données potentiellement sensibles. Il faut donc leur rappeler que même un simple fichier Excel contenant des contacts constitue un traitement de données personnelles. Ils doivent pouvoir prendre en compte l’ensemble des événements qui peuvent survenir au cours de la vie d’un traitement (exemple : faille de sécurité, gestion des demandes de rectification ou d’accès, modification des données collectées, changement de prestataire etc.).

Pour garantir un haut niveau de protection des données personnelles en permanence il convient donc de construire un plan de formation aux nouvelles obligations introduites par le RGPD pour tous vos collaborateurs. Un plan de communication définissant notamment comment la remontée d’information sera organisée devrait également être établi.

Tags:

L’actualité

Paie pratique
Ticket restaurant et prime de repas dans le bâtiment et travaux publiques (BTP) 5 décembre 2019

Comme tout employé du secteur privé, les salariés du bâtiment et de la construction ont le droit de bénéficier de titres de restaurant si leur employeur ne fournit pas les repas. Cependant, ils ont aussi droit à la prime panier comme stipulé sur les conventions collectives BTP. En gestion de la paye, il faut déduire […]

Paie pratique
Titre restaurant 2020 : limite d’exonération 5 décembre 2019

Le titre restaurant (ticket resto, chèque déjeuner, Apetiz et Pass Sodexo) est un titre de paiement permettant aux salariés qui ne disposent pas d’une cantine dans leur entreprise de prendre des repas à l’extérieur dans des restaurants ou des commerces assimilés. Sous certaines conditions, le salarié peut donc payer un commerçant avec ce titre. Il […]

Paie pratique
Frais professionnels : indemnités forfaitaires en 2020 5 décembre 2019

Les allocations forfaitaires pour frais professionnels ne sont pas soumises à cotisations sociales, à condition de s’inscrire dans les limites d’exonération fixés par l’URSSAF chaque année. Compte tenu d’une revalorisation, nous détaillons les montants des indemnités de repas, des indemnités de grand déplacement et des frais professionnels qui devraient entrer en vigueur à compter du […]

FacebookTwitterLinkedInEmail