FICHE PRATIQUE. Le 25 mai 2018, le Règlement général sur la protection des données (RGPD) entrera en vigueur dans tous les pays de l'Union européenne. Les sociétés, de toutes tailles, sont concernées puisqu'elles disposent de données personnelles sur leurs employés ou leurs clients. Voici quels sont les tenants et les aboutissants de cette réglementation qui inquiète les chefs d'entreprises.
"Toutes les entreprises, dont les TPE et PME, ont à traiter des données permettant d'identifier des personnes physiques", résument Isabelle Falque-Pierrotin (présidente de la Cnil) et Nicolas Dufourcq (directeur général de BpiFrance). Elles sont donc toutes concernées par la protection de ces données personnelles, dont le nouveau "Règlement général" entre en application ce 25 mai 2018. Ce dernier apporte de nouvelles obligations légales à comprendre et respecter, que BpiFrance et la Commission nationale informatique et liberté énumèrent dans un guide pratique de sensibilisation à destination des petites et moyennes entreprises.
Que sont les données personnelles ?
Il s'agit de "toute information se rapportant à une personne physique identifiée ou identifiable". Cela peut donc être tout simplement son nom et son prénom, un numéro de Sécurité sociale, un identifiant client, un numéro de téléphone, voire des données biométriques. L'identification d'une personne physique peut donc être réalisée directement ou indirectement, en croisant plusieurs données. Les bases marketing contiennent par exemple de nombreuses informations sur la localisation, l'âge et les centres d'intérêt des consommateurs, même si elles sont anonymisées. Les données génériques sur une entreprise, mentionnant l'adresse postale des bureaux, le numéro téléphone du standard et le courriel de contact général, ne sont pas des données personnelles.
Qu'est-ce que le traitement de ces données ?
Il s'agit d'une opération portant sur ces informations, quel que soit le procédé utilisé (collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication, diffusion, mise à disposition, rapprochement...). Un traitement de données personnelles n'est pas forcément informatisé : les fichiers papiers sont également concernés et devront donc être protégés dans les mêmes conditions que les fichiers numériques. Ces opérations de traitement doivent avoir un objectif précis : il n'est donc pas possible de collecter ou traiter des données "au cas où" cela serait utile un jour. Ce but doit par ailleurs être légal et légitime par rapport à l'activité professionnelle de l'entreprise.
Quelles sont les actions à entreprendre ?
Il sera tout d'abord nécessaire de recenser les fichiers et d'identifier les activités de l'entreprise qui nécessitent la collecte et le traitement de données personnelles : recrutement, paie, formation, gestion des accès, clients prospects, statistiques de ventes... Dans un autre registre, il est désormais obligatoire de créer une fiche, pour chaque activité recensée, qui établira l'objectif poursuivi, la catégorie des données utilisées, les personnes qui y ont accès ainsi que leur durée de conservation. Ce registre sera placé sous la responsabilité du chef d'entreprise, et il devra être remis à jour par les personnes susceptibles de traiter les données personnelles.
Ensuite, il sera nécessaire de faire le tri dans ce registre. Il faudra par exemple s'assurer de la pertinence des données conservées, par rapport à l'activité. La Cnil et BpiFrance notent : "Par exemple, il n'est pas utile de savoir si vos salariés ont des enfants, si vous n'offrez aucun service ou rémunération attachée à cette caractéristique". L'entreprise devra s'assurer que seules les personnes habilitées ont accès à ces fichiers, et que les informations ne sont pas conservées au-delà de ce qui est nécessaire. L'instauration de règles automatiques d'effacement et la redéfinition des règles d'accès pourraient être judicieuses.
L'étape la plus importante sera d'informer les personnes au moment de la collecte des données personnelles. Le support utilisé (formulaire, questionnaire) devra comporter différentes mentions notamment la finalité de cette collecte, le fondement juridique autorisant leur traitement (consentement de la personne, exécution d'un contrat, respect d'une obligation légale imposée, intérêt légitime...), les catégories de personnes ayant accès aux données (services Internet, prestataire, sous-traitant...), la durée de conservation, les modalités d'exercice des droits de l'utilisateur (via un espace personnel sur Internet, un message à une adresse email, un courrier recommandé…), et si les informations sont transférées hors de l'Union européenne. La Cnil propose un premier niveau d'information en fin de formulaire et de renvoyer à une politique de confidentialité affichée sur le site Internet. "A l'issue de cette étape, vous avez répondu à votre obligation de transparence", assurent les rédacteurs du guide.
Enfin, il va devenir nécessaire de sécuriser les données en minimisant les risques de pertes et les piratages. Les mesures à prendre vont de la mise à jour des logiciels antivirus au changement régulier des mots de passe ou au cryptage. La Cnil et BpiFrance recommandent de s'adresser au responsable informatique ou au prestataire afin de connaître le nombre d'activations de la fonction "Mot de passe oublié ?" chaque année. En cas de taux faible ou nul, c'est que la politique de gestion des mots de passe n'est pas assez exigeante. Les locaux devront également être sécurisés, tandis qu'une procédure de sauvegarde et récupération des données devra être mise en place en cas d'incident. Une approche assurantielle pourrait également recommandée. Toute violation des données personnelles devra, en tout cas, être signalée à la Cnil dans un délai de 72 heures, si elle est susceptible de présenter un risque pour les droits et libertés des personnes concernées.
Le cas de la sous-traitance
Le Règlement reconnaît le rôle des sous-traitants dans le traitement des données personnelles et leur impose donc des obligations particulières en matière de sécurité, de confidentialité et de documentation de cette activité. Les concepteurs de services ou logiciels, par exemple, doivent prendre en compte l'objectif de protection des informations et de la vie privée dès la conception de leur produit en mettant en place des mesures garantissant leur optimum. Les sous-traitants auront une obligation de conseil auprès de leurs clients et devront les aider dans la mise en place des obligations liées au règlement.
Que faire des données sensibles ?
à lire aussi
Certaines informations nécessitent une vigilance encore accrue : origine ethnique, opinions politiques ou religieuses, appartenance syndicale, orientation sexuelle, données de santé ou biométriques, casier judiciaire... Des données qui ne pourront être utilisées que sous certaines conditions strictement encadrées par la loi Informatique et liberté. Des traitements ayant pour objet ou effet d'évaluer ou noter une personne (scoring financier), de prendre des décisions automatiques, de manipuler données de personnes vulnérables, de croiser des ensembles d'informations à grande échelle… conduiront les entreprises à conduire une "analyse d'impact sur la protection des données" avant même de débuter les opérations. Il sera nécessaire là aussi de se rapprocher de la Cnil. Dans le cas où les données seraient transférées en dehors de l'UE, il sera également nécessaire d'encadrer juridiquement cette opération pour les protéger.
Y-a-t-il un avantage à cette RGPD ?
BpiFrance et la Cnil assurent que la mise en place de cette réglementation contraignante sera également l'occasion pour les entreprises d'accroître leur responsabilité, d'améliorer leurs procédés et de renforcer la confiance de leurs clients. Les deux agences y voient même un vecteur d'accélération de la maturité digitale et une opportunité pour développer de nouveaux services créateurs de valeur. Le RGPD mettra également fin à une distorsion de la concurrence entre les entreprises européennes et celles basées hors d'Europe, en les mettant sur un pied d'égalité du moment que les données émanent de personnes qui y sont basées.