Assurez vous de la conformité de votre entreprise en matière de protection des données

Comme vous le savez certainement, l’Union européenne a adopté une nouvelle règlementation portant sur la protection des données personnelles et de la vie privée. Et cette nouvelle règlementation est applicable à partir de ce 25 mai 2018., dans tous les Etats membres de l’Union Européenne et ce, même en l’absence, comme en France, de transposition nationale (projet de loi relatif à la protection des données personnelles, en cours d’examen).

Ce règlement a pour objet de favoriser le contrôle par les citoyens de leurs données personnelles et d’unifier les règlementions relatives à la protection des données au sein de l’Union Européenne au visa du principe de

Cette protection des données à caractère personnel constitue l’une des dimensions du droit au respect de la vie privée : Elle est désormais consacrée comme un droit fondamental à part entière dans la Charte des droits fondamentaux de l’Union européenne (article 8).

Les principes généraux qui se dégagent de ces nouvelles règles européennes sont les suivants :

– Remplacement du système de déclaration auprès de la CNIL par un système de contrôle interne et de responsabilisation des entreprises et des sous-traitants (éditeurs de logiciels RH et paie notamment) ;

– Nécessité pour les entreprises et sous-traitants de pouvoir démontrer à tout moment que le traitement des données est conforme à la réglementation ;

– Tenue d’un registre interne des traitements de données à caractère personnel dans les entreprises d’au moins 250 salariés ;

– Désignation dans l’entreprise d’un délégué à la protection des donnés (ancien correspondant informatique et libertés) : cette désignation étant obligatoire ou facultative au regard de l’activité de l’entreprise ;

– Conservation par la CNIL de ses missions d’information et de conseil et maintien de son pouvoir d’enquête et de sanction.

Au niveau de votre entreprise, il s’agit donc de :

– Identifier les tâches qui occasionnent un traitement des données personnelles (exemple : recrutement, formation, paie, badge, vidéosurveillance…)

– Préparer la mise en place du futur registre interne ;

– Assurer la sécurité et la confidentialité des données, en concertation éventuelle avec le délégué à la protection des données que vous aurez désigné ;

– Veiller à la conformité des traitements de vos sous-traitants ;

– Informer les salariés sur le nouveau traitement des données ;

– Recueillir le consentement des salariés sur les données collectées ;

– Organiser l’accès des salariés à leurs données.

Le non respect du RGPD est assorti d’un certain nombre de sanctions allant de la suspension temporaire des traitements de données par la CNIL à  la proclamation de mises en demeure, en passant par d’importantes amendes administratives particulièrement dissuasives pouvant atteindre 2 % du chiffre d’affaires mondial de l’entreprise ou la somme de 10 millions d’euros, ces montants pouvant aller jusqu’à 4% du chiffre d’affaires mondial ou 20 millions d’euros en cas de refus d’obtempérer face aux injonctions de la CNIL, en cas de traitements de données illégaux, de défaut de consentement, de manque de prudence lors des transferts transfrontaliers de données ou encore de non-respect des droits des personnes.

Pour votre entière information, la CNIL met à disposition sur son site www.cnil.fr des outils pratiques (modèles, logiciel, formulaires) vous permettant de mettre en oeuvre le RGPD. de manière très opérationnelle.

Si, à instar d’autres mesures (document unique de prévention des risques, ERP etc.), nous pouvons nous attendre à une longue période de mise en conformité, il reste à faire preuve de vigilance par rapport à toute décision en matière de ressources humaines  que vous prendriez mais dont le fondement juridique et de ce fait la décision elle même serait contestable du simple fait de votre non conformité.

Pour toute question complémentaire, n’hésitez pas à nous contacter.