Tout savoir sur le RGPD
Temps de lecture : 6 min
Contenu ancien
Il se peut que les informations contenues dans cet article et les liens ne soient plus à jour.
Toute entreprise est concernée par le RGPD (Règlement Général sur la Protection des Données). En effet, vous collectez et traitez des données personnelles de vos salariés et à ce titre, des règles, établies par le RGPD, doivent être impérativement observées. Voici tout ce que vous devez savoir sur le RGPD.
Collecter et traiter des données personnelles sur vos salariés, candidats à un poste ou encore sur vos clients nécessite de prendre des mesures afin de garantir une utilisation de ces données respectueuses de la vie privée des personnes concernées. Vous devez, à ce titre, respecter les obligations édictées par le Règlement Général sur la Protection des Données (RGPD), lequel encadre strictement le traitement des données à caractère personnel.
Votre entreprise est-elle soumise au RGPD ?
Tous les pays de l’Union Européenne doivent respecter le RGPD et ce, depuis le 25 mai 2018. Il est issu du règlement européen du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données.
Il s’applique à votre entreprise mais également à votre comité social et économique (CSE) dès lors que :
- votre entreprise est établie sur le territoire de l’Union européenne ;
- votre activité cible directement des résidents européens.
Tel est notamment votre cas si votre entreprise est domiciliée en France et que vous exportez l’ensemble de vos produits en dehors de l’Union européenne, ou si vous êtes domicilié en dehors de l’Union européenne, mais que vous proposez un site de e-commerce en français et que vous livrez des produits en France.
Depuis le 25 mai 2018, vous devez désigner un Délégué à la Protection des Données (DPD » ou Data Protection Officer « DPO », lequel se substitue au correspondant informatiques et libertés, si votre entreprise exerce à titre principal une activité qui génère soit :
- un suivi régulier et systématique de personnes à grande échelle ;
- un traitement à grande échelle de données sensibles (génétiques, relatives à la santé, biométriques, appartenance syndicale, origine raciale ou ethnique, etc.).
Même si vous n’y êtes réglementairement pas contraint, il peut être utile de désigner un DPO, notamment pour comprendre et respecter les obligations du règlement, dialoguer avec les autorités de protection des données et réduire les risques de contentieux.
Pour pouvoir appliquer le RGPD, il faut tout d’abord que vous sachiez ce qu’est une donnée personnelle.
La suite du contenu est réservée aux abonnés à l'Actualité Premium
Essayez l'Actualité Premium
À partir de 9,90€ / mois- Déblocage de tous les articles premium
- Accès illimité à tous les téléchargements
Collecter et traiter des données personnelles sur vos salariés, candidats à un poste ou encore sur vos clients nécessite de prendre des mesures afin de garantir une utilisation de ces données respectueuses de la vie privée des personnes concernées. Vous devez, à ce titre, respecter les obligations édictées par le Règlement Général sur la Protection des Données (RGPD), lequel encadre strictement le traitement des données à caractère personnel.
Votre entreprise est-elle soumise au RGPD ?
Tous les pays de l’Union Européenne doivent respecter le RGPD et ce, depuis le 25 mai 2018. Il est issu du règlement européen du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données.
Il s’applique à votre entreprise mais également à votre comité social et économique (CSE) dès lors que :
- votre entreprise est établie sur le territoire de l’Union européenne ;
- votre activité cible directement des résidents européens.
Tel est notamment votre cas si votre entreprise est domiciliée en France et que vous exportez l’ensemble de vos produits en dehors de l’Union européenne, ou si vous êtes domicilié en dehors de l’Union européenne, mais que vous proposez un site de e-commerce en français et que vous livrez des produits en France.
Depuis le 25 mai 2018, vous devez désigner un Délégué à la Protection des Données (DPD » ou Data Protection Officer « DPO », lequel se substitue au correspondant informatiques et libertés, si votre entreprise exerce à titre principal une activité qui génère soit :
- un suivi régulier et systématique de personnes à grande échelle ;
- un traitement à grande échelle de données sensibles (génétiques, relatives à la santé, biométriques, appartenance syndicale, origine raciale ou ethnique, etc.).
Même si vous n’y êtes réglementairement pas contraint, il peut être utile de désigner un DPO, notamment pour comprendre et respecter les obligations du règlement, dialoguer avec les autorités de protection des données et réduire les risques de contentieux.
Pour pouvoir appliquer le RGPD, il faut tout d’abord que vous sachiez ce qu’est une donnée personnelle.
Quand et quelles données personnelles traitez-vous ?
Toute information se rapportant à une personne physique identifiée ou identifiable est une donnée personnelle. Ainsi, en tant qu’employeur, vous collectez un grand nombre de données que ce soit sur vos salariés mais également sur vos prospects, clients, fournisseurs, etc. Tous sont concernés par la protection de leurs données.
Attention, un traitement de données personnelles n’est pas nécessairement informatisé, les fichiers papier sont également concernés et doivent être protégés ! Soyez attentifs à cela.
Il en va ainsi quand une personne peut être identifiée directement (nom, prénom) mais aussi indirectement (numéro de téléphone, identifiant client, donnée biométrique).
Sont donc notamment des données protégées : les données personnelles (identité, adresse, photo) figurant dans des fichiers numériques, le numéro IBAN (compte bancaire), les numéros de téléphone, les numéros individuels (Sécurité sociale, TVA intracommunautaire, numéro de contrat) , les identifiants, code d'accès, mot de passe, les données biométriques, les données de géolocalisation GPS et IP, les enregistrements de caméras, les pièces justificatives personnelles ( il en va ainsi des copies de carte d’identité, passeport, livret de famille, justificatif de domicile, relevé bancaire, carte vitale), etc.
Nous attirons votre attention sur le fait que l’identification peut être réalisée à partir d'une seule donnée (par exemple le numéro de Sécurité sociale) ou du fait du croisement de plusieurs données (exemple : un homme vivant à telle adresse, né un tel jour…). Vous devez donc être vigilant, car si une donnée unique est facilement identifiable, vous devez faire attention au croisement de données.
De plus, sachez que traiter une donnée personnelle consiste dans les faits à soit la collecter, l’enregistrer, la conserver ou encore l’utiliser.
Le traitement de toute donnée personnelle doit avoir un objectif, une finalité, c’est-à-dire que vous ne pouvez pas collecter ou traiter des données personnelles simplement au cas où cela vous serait utile un jour. À chaque traitement de données doit être assigné un but, qui doit bien évidemment être légal et légitime au regard de votre activité professionnelle.
Exemple
Collecter des informations sur la situation familiale d’un salarié est possible car le recueil de cette donnée permet par exemple l’inscription à la mutuelle d’entreprise.
Veillez à assurer la sécurité et la confidentialité. Les données que vous détenez ne doivent en aucun cas être accessibles à autrui et seules les personnes autorisées doivent y avoir accès.
Quelle procédure appliquer en cas de traitement de données personnelles ?
S’agissant du traitement des données personnelles, vous devez tout d’abord identifier les activités principales de votre entreprise qui nécessitent la collecte et le traitement de données (exemples : recrutement, gestion administrative du personnel et paie, formation, gestion des accès, gestion des fichiers clients) et recensez tous les fichiers que vous utilisez qui contiennent des données personnelles.
En effet, chaque activité doit ainsi être répertoriée dans le registre de traitement de données, lequel contient l'ensemble du détail de traitement des données de votre entreprise.
Pour faciliter cette tâche, la CNIL met à votre disposition sur son site Internet un modèle de registre. N’hésitez pas à l’utiliser et à l’adapter à votre entreprise afin d’en faire un outil facile à renseigner.
Vous devez également faire le tri dans vos données. Il convient en effet que vous vérifiiez que :
- les données sont nécessaires et remplissent les conditions susmentionnées ;
- vous ne traitez aucune donnée sensible et si c’est le cas vous devez avoir l’autorisation de le faire ;
- vous ne conservez pas les données dans un délai supérieur à celui prévu.
Enfin, sécurisez les données que vous traitez. En cas de violation de données personnelles (violations de sécurité entraînant, de manière accidentelle ou non, la destruction, la perte, l'altération, la divulgation non autorisée des données personnelles ou leur accès non autorisé), vous devez impérativement informer la CNIL sous 72 heures.
Devez-vous informer les personnes ?
Vous êtes en effet tenu de respecter les droits des personnes : informez-les (des exemples de mentions sont à votre disposition sur le site Internet de la CNIL) et permettez leur d’exercer facilement leurs droits (d’accès, de rectification, d’opposition, d’effacement).
Vous devez leur donner les moyens d’exercer effectivement ces droits.
Si vous disposez d’un site web, prévoyez un formulaire de contact spécifique, un numéro de téléphone ou une adresse de messagerie dédiée.
Pour en savoir plus sur les obligations découlant du RGPD, nous vous invitons à télécharger notre livre blanc « Données personnelles (RGPD) - L’impact pour les RH ».
- CDD : doit-il être signé par le salarié ?Publié le 20/01/2025
- Durée de la période d’essai : les cas de réduction ou de suppressionPublié le 15/01/2025
- Evaluation des salariés : tout savoir sur l’entretien annuelPublié le 10/01/2025
- Fin de CDD : quels documents remettre et quelle indemnité verser ?Publié le 23/12/2024
- CDD : l’absence d’un paraphe sur une page n'entraîne pas l’irrégularité du contrat signéPublié le 06/12/2024