Posté le : 25 mai 2018 Par : BlogEuropages

RGPD-Europages

Bpifrance et la CNIL viennent de publier un guide pratique sur le nouveau Règlement général sur la protection des données (RGPD) qui s’applique à partir du 25 mai dans toute l’Europe. Rappel des points de vigilances à avoir et des actions à mener.

Quelles sont les données sensibles à protéger ? Ce guide pratique du nouveau règlement européen RGPD définit les données ou les types de traitements qui nécessitent une vigilance particulière. Sont considérées comme données sensibles, les informations révélant l’origine prétendument raciale ou ethnique ; portant sur les opinions politiques, philosophiques ou religieuses ; relatives à l’appartenance syndicale ; concernant la santé ou l’orientation sexuelle ; génétiques ou biométriques. En ce qui concerne le traitement de données, il faut examiner 9 critères : si celui-ci a pour objet ou pour effet :
– l’évaluation d’aspects personnels ou notation d’une personne (exemple : scoring financier) ;
– une prise de décision automatisée ;
– la surveillance systématique de personnes (exemple : télésurveillance) ;
– le traitement de données sensibles (exemple : santé, biométrie, etc.) ;
– le traitement de données concernant des personnes vulnérables (exemple : mineurs) ;
– le traitement à grande échelle de données personnelles ;
– le croisement d’ensembles de données ;
– des usages innovants ou l’application de nouvelles technologies (exemple : objet connecté) ;
– l’exclusion du bénéfice d’un droit, d’un service ou contrat (exemple : liste noire).

Si vos traitements de données répondent à au moins 2 de ces 9 critères, vous devez, a priori, conduire une analyse d’impact sur la protection des données (PIA : Privacy Impact Assesment), avant de commencer les opérations de traitement.

Les 4 actions à mener. Le guide recense 4 actions principales à mener pour entamer votre mise en conformité aux règles de protection des données :

– Recenser vos fichiers : Le registre listant vos traitements de données vous permettra d’avoir une vision d’ensemble. Identifiez les activités principales de votre entreprise qui nécessitent la collecte et le traitement de données (exemples : recrutement, gestion de la paye, formation, gestion des badges et des accès, statistiques de ventes, gestion des clients prospects, etc.). Appuyez-vous sur le modèle de registre proposé par la CNIL sur son site internet.

– Faites le tri dans vos données : Pour chaque fiche de registre créée, vérifiez que les données que vous traitez sont nécessaires à vos activités (par exemple, il n’est pas utile de savoir si vos salariés ont des enfants, si vous n’offrez aucun service ou rémunération attachée à cette caractéristique). Minimisez la collecte de données, en éliminant de vos formulaires de collecte et vos bases de données toutes les informations inutiles. Redéfinissez qui doit pouvoir accéder à quelles données dans votre entreprise. Pensez à poser des règles automatiques d’effacement ou d’archivage au bout d’une certaine durée dans vos applications.

– Respectez les droits des personnes : À chaque fois que vous collectez des données personnelles, le support utilisé (formulaire, questionnaire, etc.) doit comporter des mentions d’information expliquant pourquoi vous collectez les données, ce qui vous autorise à traiter ces données, qui a accès aux données, combien de temps vous les conservez et les modalités selon lesquelles les personnes concernées peuvent exercer leurs droits. Si vous transférez des données hors de l’Union européenne, vous devez précisez le pays et l’encadrement juridique qui maintient le niveau de protection des données.

– Sécurisez vos données : Les mesures à prendre, informatiques ou physiques, dépendent de la sensibilité des données que vous traitez et des risques qui pèsent sur les personnes en cas d’incident.

Et pour vous aider dans cette démarche, vous pouvez consulter le site internet de la CNIL pour le dossier PIA, pour transférer des données hors de l’UE ou pour la désignation d’un délégué à la protection des données. Vous pouvez également vous informer auprès des conseillers Europages. Voir également nos deux articles écrits en janvier dernier sur le RGPD à partir d’un guide pratique réalisé par trois organisations professionnelles du secteur (Cigref, AFAI et Tech in France) : GDPR : ce qui change pour les entreprises et GDPR mode d’emploi.


Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *