Se mettre en Conformité avec la CNIL et avec le Règlement Général sur la Protection des Données est obligatoire pour toutes les entreprises qui stockent et traitent des données personnelles de citoyens européens. Cette mise en conformité obligatoire a pour principal objectif de protéger les données personnelles de tous les citoyens européens; Vous, moi et tous les autres citoyens de l’Europe moderne et connectée.
Conformité avec la CNIL : Si mon entreprise ne se mets pas aux normes, qui est responsable devant le tribunal pénal ?
Dans une entreprise privée, aux yeux du Règlement Général sur la Protection des Données, la responsabilité du stockage et des traitements des données à caractère personnel devant la cour pénale est le chef d’entreprise, le PDG.
Vous êtes dans l’obligation de vous mettre Conformité avec la CNIL.
Conformité avec la CNIL : Que risquez vous si vous ne faite rien d’ici le 25 Mai 2018 ?
Vous avez jusqu’au 25 Mai 2018 pour vous mettre en conformités avec le Règlement Général sur la Protection des Données.
Au delà de cette date, si la mise ne conformité n’est pas entamée, vous vous exposez à :
Une amende administrative d’un minimum de
20 millions d’euros
pour les administrations
et
4 % de votre chiffre d’affaire mondial
pour les entreprises
+
Une poursuite au tribunal pénal par les plaignants
+
Une amende au pénal
+
Des dommages et intérêts à payer aux plaignants
Comment être conforme avec le RGPD ?
Le RGPD exige de respecter 5 bonnes pratiques concernant les données à caractères personnel :
- Déclarer la finalité du traitement des données
- Récolter des données ayant une pertinence avec le traitement désigné et prouver qu’elles n’ont pas été récolté sans un accord explicite de la personne concernée.
- Limiter le stockage des données à la durée du traitement
- Assurer la confidentialité et la sécurité des données à caractères personnel.
- Respecter les droits des personnes dont vous avez récolté les données notamment le droit de consultation, de rectification et de destruction des données.
Qu’est ce qu’une données personnelle de citoyen européen ?
Selon le RGPD :
«données à caractère personnel», toute information se rapportant à une personne physique identifiée ou identifiable est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale;
Ou en d’autre termes les données à caractères personnel sont :
- Votre fichier client
- Votre fichier du personnel
- Les images vidéo issue des caméras de surveillance
- Les données récoltées sur votre site internet…
Toutes ces données qui touchent de près ou de loin le citoyen européen sont protégées par le RGPD. Si vous récolter, traitez et stockez ce type de données concernant vos clients, vos employées ou vos locaux, elles sont soumises aux obligations désignées par le Règlement Général sur la Protection des données.
Qu’est ce qu’un traitement de données à caractères personnel ?
Selon le RGPD :
«traitement», toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement,l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction;
En d’autre terme :
Le simple fait de noter le nom, le prénom, l’adresse et le numéro de téléphone d’un citoyen européen constitue un traitement de données à caractère personnel. Bien entendu, ce terme de traitement de données ne s’appliquant qu’aux entreprises !!
Le répertoire téléphonique papier posé à coté du téléphone filaire chez votre grand mère n’est pas concerné par le GRPD.
Donc, dans votre entreprise, dès que vous utilisez une donnée personnelles stockée pour effectuer une action, automatisée ou non, devient un traitement de données à caractère personnel, comme par exemple :
- Envoyer un mailing papier ou un e mailing à vos clients.
- Editer les fiches de paye de vos salariés.
- Demander à un client de remplir un coupon-réponse.
- Pour un hôtel, demander sur son site internet les nom des occupant pour le séjour réservé à des dates précises.
- Enregistrer les heures d’arrivées et de départ de vos salariés par un pointage horodaté.
- Faire remplir un formulaire de contact sur votre site internet.
- Verrouiller, effacer, détruire des données.
- Surveiller et/ou enregistrer des communications téléphoniques
- Télétransmettre des données personnelles
- Interconnecter des données personnelles entre des services ou des sous traitants
- Système de carte à puces pour le stockage des données.
- Système de pointage avec badges d’accès
- Espace numérique de travail (serveur Windows par exemple)
Pour vous aider à vous mettre en conformité avec le RGPD, il est fortement conseillé, voir dans certains cas obligatoire, de désigner un Délégué à la Protection des Données (DPD ou DPO en anglais).
Ce Data Protection Offcier pourra vous accompagner pour effectuer un état des lieux des traitements en cours ou prévus dans votre entreprise ainsi que toutes les démarches nécessaires pour être en conformité.
Conformité avec la CNIL – Etes vous obligé de désigner un DPO ?
La désignation d’un DPO est obligatoire pour :
- Les autorités publiques ou organismes publics
- Les entreprises qui effectuent des traitement de données à caractère personnel à grande échelle et qui nécessite un suivit régulier et systématique des traitement.
- Les entreprises qui effectuent des traitement de données à caractère personnel qui révèle l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique. Ces types de données sont considérée comme sensibles et nécessitent une grande rigueur de traitement.
Si vous n’êtes pas dans ces catégories, la désignation d’un DPO n’est pas obligatoire mais fortement conseillée car cela ne vous dispense pas de déclarer vos données et vos traitements.
Le DPO pourra vous accompagner et vous aider à effectuer ces déclarations obligatoires afin de mener à bien votre mise en conformité.