En préambule de son intervention, Frédéric Dupont rappelle que le RGPD est établi depuis 2018, et qu’il concerne toute société qui a des salariés et est donc susceptible de collecter des données à caractère personnel.
Tout d’abord, il faut distinguer les données à caractère personnel des données sensibles. Ces dernières peuvent concerner la santé de la personne, ses opinions politiques, religieuses. La donnée personnelle est un terme très large. Une donnée peut être qualifiée de personnelle si elle peut être rattachée à une personne ou permettre de l’identifier. A titre d’exemple, dans le cas d’une montre connectée qui compte les pas, si on peut récupérer le nom de la personne qui marche, cela devient une donnée personnelle. Si la montre fait également électrocardiogramme, cela peut devenir une donnée à caractère médical, donc une donnée sensible.
Presque tous les domaines d’une société peuvent être impactés par cette réglementation : la gestion commerciale, la finance, les RH, la logistique, la communication… Dans le cas d’un non-respect du RGPD, la Commissions Nationale de l’Information et des Libertés (CNIL) peut prendre des sanctions financières (environ 2-4% du CA dans le privé, jusqu’à 20millions d’euros dans le domaine public) mais il peut aussi y avoir des sanctions pénales.
Le RGPD ne concerne que les personnes physiques, citoyens européens, et constitue avant tout un renforcement du droit des personnes. Toute personne physique a ainsi des droits sur les données à caractère personnel : d’accès, de rectification, d’effacement, de limitation, d’opposition (attention, cependant, dans le cas d’un ancien salarié de l’entreprise, le droit d’effacement n’est pas possible). Frédéric recommande aux sociétés qui souhaitent se mettre en conformité de dédier une adresse mail à ces questions de gestion de données.
Pour la mise en place du RGPD, un DPD (Délégué à la protection des données) doit être désigné dans l’entreprise. Cette fonction peut être traitée en interne ou externalisée.
Lors de la collecte des données, il faut toujours penser à l’impact sur la personne (en cas de corruption, d’utilisation de la donnée par exemple). Il est donc nécessaire de poser une base légale de collecte pour laquelle on aura le consentement des personnes, consentement qui doit être libre, démontré, retirable, éclairé et univoque (pas de case pré-cochée ou d’accord oral). En résumé, la personne physique qui communique ses données ne doit avoir aucun doute sur l’information qu’elle donne, comment la société va l’utiliser et pour combien de temps.
A cette fin, plusieurs questions sont à se poser lors de la collecte :
Cela permet ensuite de déterminer les acteurs de la protection des données : le responsable du traitement (l’entité), le sous-traitant (tout ce qui gravite autour de la société et peut collecter des données pour son compte comme un expert-comptable, ou un hébergeur web) et le destinataire (celui qui va utiliser la donnée comme le chargé de paye).
Toutes ces informations vont ensuite figurer dans un registre (dont le modèle est disponible sur le site de la CNIL), ainsi que dans des analyses d’impact/de risques. Celui-ci est fortement recommandé par Frédéric car il permet de structurer la donnée, et doit être actualisé une fois par an par le DPD.
Pour résumer, la mise en conformité au RGPD pour une société passe par :
Respecter le RGPD, ce n’est pas seulement une mise en conformité. Il s’agit d’une démarche longue mais nécessaire, et également d’une opportunité de se poser les bonnes questions et d’anticiper les risques liés aux traitements de données. Le RGPD constitue ainsi un vecteur de confiance et d’adhésion pour l’entreprise et ses parties prenantes.