Mise en conformité RGPD : comment s’y prendre ?

Quel que soit le secteur d’activité de votre entreprise, l’informatique est omniprésente. Pour répondre aux besoins des différentes fonctions de votre société, vous devez impérativement faire appel à des prestataires spécialisés offrant des solutions informatiques adaptées. Maintenance, intégration, externalisation, les différentes étapes de vos projets requièrent des connaissances techniques et juridiques pointues. Le Cabinet Lazarègue Avocats, avocat en RGPD, vous donne les clés pour mieux comprendre cette matière complexe et transversale. 

Le Règlement européen Général sur la Protection des Données est entré en vigueur le 25 mai 2018 dans le cadre de la loi “Informatique et Libertés”. Le but de cette nouvelle législation est d’assurer l’encadrement des traitements de données à caractère personnel en fixant un cadre de collecte, d’exploitation et de conservation. 

En pratique, si vous collectez, enregistrez, conservez ou utilisé des informations concernant une personne physique identifiée ou identifiable, directement ou indirectement, vous êtes concerné par le RGPD. Vous devez donc assurer votre mise en conformité avec les obligations prévues par ce règlement. À noter que les organisations concernées doivent être établies sur le territoire de l’Union européenne ou réaliser des activités à destination de personnes résidant sur le territoire de l’Union européenne. 

Cette mise en conformité repose sur un certain nombre de principes et notamment celui de l’”accountability”, selon lequel les entreprises sont considérées comme responsables des règles applicables en matière de traitement de données à caractère personnel. Elles doivent donc évaluer les mesures mises en place au sein de leur organisation et être en mesure de prouver le respect de leurs obligations en cas d’incidents de sécurité, de plainte ou de contrôle. 

D’autres principes sont également fixés par le RGPD. Il s’agit notamment : 

• De la nécessité, licéité et loyauté du traitement (article 6)
• De la transparence (article 5-1)
• De la limitation des finalités (article 5-1 b)
• De la minimisation des données (article 5-1 c)
• De l’exactitude des données traitées (article 5-1 d)
• Du respect du droit des personnes 
• La limitation de la conservation des données (article 5-1 e)
• De la sécurisation des données traitées (article 5-1 f)

Bon à savoir : Les sanctions de la CNIL 

En 2020, la Commission Nationale de l’Informatique et des Libertés a reçu plus de 13 500 plaintes et a infligé près de 138 millions d’euros d’amendes sur base du non-respect des dispositions prévues par la loi “Informatique et libertés”.  

Il s’agit de cartographier l’ensemble des traitements réalisés au sein de votre entreprise dans un registre, tenu à jour par un délégué à la protection des données. Ce document doit être transmis à la CNIL sur demande et contenir un certain nombre d’informations : 

• Les traitements réalisés et leurs catégories
• Les catégories de données et les informations les concernant (durée de conservation notamment)
• Les conditions de réalisation des traitements (sous-traitance par exemple)

Nous pouvons si vous le souhaitez vous fournir un modèle de registre pour réaliser votre cartographie.

Les finalités d’un traitement permettent de définir les contours de celui-ci. Concrètement, les données sont collectées dans un but précis. Si vous souhaitez néanmoins les utiliser dans le cadre d’un autre traitement ou d’une autre finalité, vous devez amender vos déclarations et informer les personnes concernées. 

Par ailleurs, seules les données en lien direct avec la finalité du traitement et strictement nécessaires peuvent être collectées. Les entreprises doivent donc veiller à effectuer un tri pour ne pas traiter des informations jugées non pertinentes. 

Bon à savoir : l’existence d’une base légale pour traiter des données 

Il s’agit de la règle de droit qui autorise une organisation à réaliser le traitement d’une information. Ces dernières sont énumérées par le RGDP. Il peut par exemple s’agir du consentement de la personne concernée ou des nécessités liées à l’exécution d’un contrat. 

Elle doit être limitée dans le temps et surtout proportionnelle à la finalité du traitement. Pour vous aider à déterminer vos durées de conservation, voici quelques exemples : 

• Données permettant la gestion de la paie : 5 ans (Article L3243-4 du Code du travail)
• Données permettant de réaliser la gestion du personnel : 5 ans (Article R.1221-26 du Code du travail)
• Données fiscales : 6 ans (Article L102 B du Livre des procédures fiscales)
• Données de vidéosurveillance : 1 mois (Article L.252-3 du Code de la Sécurité intérieure)

Le RGPD accorde plusieurs droits essentiels aux personnes physiques concernées par les données. Il s’agit notamment du droit d’information, d’accès, de rectification, de suppression et d’objection au traitement. En tant que responsable du traitement, vous devez donc vous assurer du respect de l’ensemble de ces droits.

Si vous effectuez des traitements de données, vous devez tout mettre en œuvre techniquement pour assurer la sécurité de ces informations. Dans ce cadre, il convient de s’assurer du respect de trois grands principes : la confidentialité, l’intégrité et la disponibilité (ou l’accessibilité) permanente des données aux personnes autorisées. 

Vous l’aurez compris, la mise en conformité RGDP est un mécanisme dynamique qui implique d’évaluer régulièrement les mesures mises en place au sein de votre entreprise. Au-delà des sanctions, cette démarche vous permet par ailleurs d’établir une confiance avec vos partenaires. Vous souhaitez être accompagné ? Contactez le cabinet LAZARÈGUE AVOCATS. 

https://www.cnil.fr/fr/reglement-europeen-protection-donnees

https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000020625846

https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000031392972/

https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000041471233/

https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000043533727