RGPD
RGPD, COMMENT SE PREPARER ?
Le Règlement Général sur la Protection des Données (RGPD) est applicable en Nouvelle-Calédonie depuis le 1er juin 2019. Ce règlement vient modifier la loi informatique et libertés de 1978. C’est à cette date également qu’a été créée la CNIL (Commission Nationale de l’Informatique et des Libertés), l’autorité administrative indépendante compétente en matière de protection des données et qui dispose des pouvoirs de contrôle et de sanction.
Le développement des outils numériques a incité les organisations publiques et privées à collecter toujours plus de données sur les personnes (clients, salariés, prestataires, etc.). Mais à quelles fins ? Qui utilise ces données ? Qui peut y accéder ? etc.
Le Règlement Général sur la Protection des Données a pour objectif d’encadrer l’utilisation de toutes ces données et de faciliter l’accès des personnes à leurs droits en matière d’informations personnelles. Il harmonise les règles en Europe en offrant un cadre juridique unique aux professionnels.
DE QUOI PARLE-T-ON ?
Qui est concerné ?
Toutes les organisations qu’elles soient publiques ou privées, avec ou sans salariés, qui traitent de la donnée à caractère personnel sont concernées par le RGPD. Plus précisément celles qui sont établies en Union européenne ou dont l’activité cible des résidents Européens. Il concerne également les sous-traitants qui traitent des données pour le compte d’autres organismes.
Donnée à caractère personnel
Selon le RGPD, une donnée est dite à caractère personnel lorsqu’elle se rapporte à une personne physique identifiée ou identifiable.
L’identification peut être directe (ex : nom, prénom, …), indirecte (ex : numéro de dossier, numéro de matricule, numéro de salarié, …) ou à partir d’un croisement d’un ensemble de données (ex : femme, habitant à Boulouparis, travaillant à l’antenne de La Foa de la CMA).
Certaines données personnelles sont considérées comme « sensibles », c’est le cas notamment des informations sur la santé, l’appartenance syndicale, les opinions politiques, l’ethnie, etc. Le traitement de ces données nécessite une attention particulière du fait de leur protection juridique renforcée. Le responsable de traitement doit dans un premier temps s’assurer d’avoir le droit de traiter ces données et dans un second temps assurer leur protection par tous moyens.
Traitement de données
Un « traitement de données personnelles » est une opération, ou ensemble d'opérations, portant sur des données personnelles, quel que soit le procédé utilisé. Il peut être informatisé ou papier. Exemple : collecter, enregistrer, transmettre, consulter, conserver ou exploiter des données.
PASSER A L’ACTION
Pour être en conformité avec le RGPD, il faut être en mesure de prouver que l’entreprise a mis en place les outils lui permettant de collecter, utiliser et conserver les données des personnes en toute transparence et de manière raisonnée. Pour cela il est recommandé de passer à l’action en suivant les 4 étapes clés suivantes.
L’identification - Le registre de traitement
La première étape consiste en la création et la tenue d’un registre des traitements. Ce document vous permet de recenser toutes vos données et d’avoir une vision d’ensemble.
Il faut en premier lieu, identifiez les activités principales de votre entreprise qui nécessitent la collecte et le traitement de données. Exemples : recrutement, gestion de la paie, formation, statistiques de ventes, gestion des clients prospects, etc.
Ensuite, pour chaque activité identifiée, il faut créer et tenir à jour une fiche de registre précisant :
- QUI ? les parties prenantes (représentants, sous-traitants, co-responsables, etc.) qui interviennent dans le traitement des données.
- QUOI ? les catégories de données traitées (identité, professionnelles, financières, localisation, sensibles, etc.).
- POURQUOI ? à quoi servent ces données (ce que vous en faites) = La finalité de la collecte de données.
- À QUI ? qui accède aux données (direction, autres services internes ou externes, etc.) et à qui elles sont communiquées (prestataires, sous-traitants, etc.).
- JUSQU’À QUAND ? combien de temps vous les conservez (La CNIL met à disposition un tableau de référence sur la durée de conservation maximale des données).
- COMMENT ? comment elles sont sécurisées (mot de passe, antivirus, contrôle d’accès, etc.).
Un modèle de registre destiné aux TPE et PME est disponible sur le site de la CNIL ou auprès de la CMA-NC.
Le tri des données
La constitution du registre vous permet de vous interroger sur les données dont votre entreprise a réellement besoin.
Pour chaque fiche de registre créée, vérifiez que :
- Les données que vous traitez sont nécessaires à vos activités (principe de minimisation des données) ;
- Vous ne traitez aucune donnée sensible ou, si c’est le cas, que vous avez bien le droit de les traiter ;
- Seules les personnes habilitées ont accès aux données dont elles ont besoin ;
- Vous ne conservez pas vos données au-delà de ce qui est nécessaire.
Le tri vous permettra d’avoir une meilleure utilisation de vos données, car seules les données utiles seront présentes. Vous gagnerez ainsi en temps et en efficacité.
Le respect des droits des personnes
Afin de respecter au mieux les droits des personnes concernées, il est important de bien les informer sur l’utilisation de leurs données, de recueillir leur consentement au préalable de la collecte et de leur rappeler leurs droits afin qu’elles gardent la maitrise de leurs données.
Le RGPD a renforcé la liste des droits des personnes en matière de protection des données. Les personnes disposent ainsi d’un droit d’accès, de retrait de leur consentement, de rectification, d’opposition, d’effacement et de portabilité des données.
Attention, le professionnel ne pourra pas toujours satisfaire ces droits en particulier lorsqu’il doit respecter un certain nombre d’obligations légales telles que la conservation de données en cas de contrôle fiscal ou des pièces à fournir dans l’hypothèse d’un contentieux.
La sécurité des données
Il est important d’installer les niveaux de sécurité suffisants garantissant l’intégrité, la confidentialité et la disponibilité des données. Les mesures de sécurité peuvent être physiques (accès restreint), logiques ou logicielles (mot de passe, antivirus) ou organisationnelles (diffusion individuelle de la fiche de paie). Les risques peuvent venir de l’interne (salariés) ou de l’externe (visiteurs, concurrents, etc.).
Le niveau de sécurité doit être adapté au risque encouru.
LA RELATION AVEC LES SOUS-TRAITANTS
Le responsable du traitement est la personne, le service ou l’entreprise qui détermine les finalités et les moyens du traitement. C’est lui qui décide de mettre en œuvre le traitement et en définit les modalités.
Le sous-traitant est la personne, le service ou l’entreprise qui traite des données personnelles pour le compte du responsable de traitement.
Exemples de sous-traitants : prestataires (de gestion de paie, comptable, fournisseur internet), agences de communications/marketing, hébergeurs, etc.
Le responsable du traitement est juridiquement responsable de la conformité du traitement et veille au respect des obligations. Le sous-traitant est tenu de respecter des obligations spécifiques en matière de sécurité, de confidentialité et en matière de conformité.
La responsabilité est donc partagée, chacun ayant ses propres obligations à respecter.
LES OBLIGATIONS EN TANT QU’EMPLOYEUR
Gestion du personnel
De très nombreuses données personnelles relatives aux employés sont nécessaires pour la gestion de leur carrière au sein de votre entreprise.
Ne demandez à vos employés que les informations utiles pour accomplir leurs missions, et évitez de traiter des données sensibles (ex : appartenance syndicale, données de santé).
Vous disposez forcément d’informations particulières (et donc à risque) sur vos employés (coordonnées bancaires pour la paie, numéro de sécurité sociale pour les déclarations sociales, etc.). Assurez-vous d’en garantir la confidentialité et la sécurité. Ainsi, seules les personnes habilitées doivent en prendre connaissance.
Tous vos employés doivent être sensibilisés à cette question. Ils sont concernés en tant que professionnels en relation avec vos clients, vos fournisseurs, vos prestataires, et en tant que citoyens.
Recrutement
Lors du recrutement, seules les informations utiles au regard du poste à pourvoir peuvent être collectées.
Il est interdit de collecter des informations du candidat sur sa famille, ses opinions politiques, son appartenance syndicale ou encore son numéro CAFAT lors du recrutement.
Informez le candidat sur ce que vous allez faire des données qu’il vous communique, qui va y avoir accès (service RH, un prestataire ?), combien de temps vous allez les conserver et comment il peut exercer ses droits sur ses données.
Les candidats doivent notamment pouvoir accéder à leurs données, les faire rectifier ou supprimer s’ils le souhaitent.
Une fois le choix de votre nouvel employé effectué, supprimez les informations sur les candidats non retenus, sauf s’ils acceptent de rester dans votre « vivier » pour une durée limitée (2 ans).
LES 8 REGLES D’OR DU RGPD
Dans votre démarche de mise en conformité RGPD, rappelez vous ces 8 règles d’or :
- Licéité du traitement : s’assurer que l’on a le droit de traiter certains types de données.
- Finalité du traitement : collecter des données dans un but précis d’utilisation de celles-ci.
- Minimisation des données : collecter seulement les données qui vous sont réellement utiles.
- Protection particulière pour les données sensibles : s’assurer d’avoir le droit de collecter et de traiter ce type de données et en garantir leur sécurité.
- Conservation limitée des données : ne pas conserver les données au-delà de leur utilisation nécessaire à la réalisation des finalités pours lesquelles elles sont collectées.
- Obligation de sécurité : s’assurer d’un niveau de protection adapté au risque.
- Transparence : respecter ce principe en informant les personnes de manière éclairée et sans ambiguïté des modalités d’utilisation de leurs données.
- Droits des personnes : Informez les personnes sur leurs droits et comment les exercer.
LES OPPORTUNITES DU RGPD
La mise en conformité du RGPD peut sembler compliquée à mettre en place mais elle repose principalement sur du bon sens et sur un principe de transparence envers les personnes pour lesquelles vous traitez des données à caractère personnel.
Cette mise en conformité peut présenter des avantages comme valoriser l’image d’une entreprise sérieuse et responsable et ainsi renforcer la confiance de vos clients, fournisseurs et partenaires.
En ayant une gestion rigoureuse de vos données (exactitude et mise à jour des données), vous gagnez en efficacité et en productivité.
Les exigences de cette nouvelle réglementation ne pourraient-elles finalement pas se transformer en opportunités pour les entreprises ? Celle-ci ne devrait pas être perçue comme une contrainte mais plutôt comme un nouveau moyen d’attirer et de fidéliser vos clients, collaborateurs et partenaires.
SE FORMER ET SE PRÉPARER
La Chambre de métiers et de l’artisanat de Nouvelle-Calédonie met en place gratuitement à destination des entreprises artisanales un atelier d’information d’une durée de 2h.
Cet atelier a pour objectif de vous donner un premier niveau de connaissances sur ce règlement et vous permettra d’entamer votre mise en conformité sur de bonnes bases. Des exemples et exercices pratiques y seront présentés afin d’être au plus proche de vos attentes.
Si vous souhaitez des informations complémentaires, n’hésitez pas à vous rendre sur le site de la CNIL, contacter un animateur économique de la CMA-NC ou à vous adresser à des professionnels.
Tous les documents et outils sont disponibles sur le site de la CNIL.
Toutes les dates et lieux de formations sont disponibles auprès de la CMA-NC et de ses antennes.
Pour toute question, n’hésitez pas à envoyer un mail à Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser. en précisant vos contacts, afin que l’on puisse vous rappeler, ou contactez-nous au 28 23 37.