Le 21 février dernier, le Syndicat de la Mode de Paris organisait une réunion de formation/informations sur le règlement européen sur la protection des données personnelles (RGPD).
Ce règlement a été adopté le 14 avril 2016 : il prévoit une mise en conformité obligatoire à partir du 25 mai 2018.
Voici les principaux points à retenir pour la mise en conformité :
Le RGPD s’applique à tout traitement, et non pas uniquement aux traitements informatiques, de données personnelles. Les données personnelles ne s’opposent pas aux « données professionnelles ». Une donnée personnelle est une donnée qui permet d’identifier une personne directement ou indirectement : une adresse e-mail professionnelle comportant le nom d’une personne est donc une donnée personnelle. Un traitement désigne toutes les actions autour des données : consultation, diffusion, collecte, effacement, organisation, export etc.
Il y a 5 principes fondamentaux qui guident le RGPD :
- On ne peut collecter que de la donnée légale (c’est-à-dire avec le consentement de la personne concernée)
- Chaque donnée collectée doit avoir une finalité
- La collecte de donnée doit être proportionnelle à la finalité (il faut viser le minimum et prévoir une conservation limitée de la donnée)
- Les données doivent être légitimes (c’est-à-dire en rapport avec la finalité)
- La protection des données doit être prise en compte dans chaque traitement
De ces principes fondamentaux découlent des documents à produire par les entreprises qui doivent être disponibles en cas de contrôle par la CNIL :
- Une procédure écrite décrivant comment les données sont protégées dès leur collecte par l’entreprise
- Un registre de tous les traitements et flux de données personnelles collectées par l’entreprise (ne pas oublier d’y mentionner les sous-traitants avec qui nous partageons des données). Le registre du personnel fait également partie des données personnelles à mentionner. Un modèle est disponible sur le site de la CNIL.
- Des contrats avec les sous-traitants mentionnant le respect du RGPD
- Une procédure écrite de gestion des failles de sécurité. NB : toute faille de sécurité doit être déclarée à la CNIL dans un délai de 72h.
- Un registre des failles de sécurité
- Une documentation écrite sur les bonnes pratiques mises en place dans l’entreprise concernant la protection des données personnelles
- Pour tout ce qui concerne la vidéo surveillance, il faut également prévoir la réalisation d’une analyse d’impacts.
L’entreprise devra également faire figurer sur son site une « mention d’information » décrivant ses traitements de données personnelles (des exemples de mentions d’information sont disponibles sur le site de la CNIL).
Il est fortement conseillé de nommer un DPO (Data Protection Officer) pour assurer le respect de toutes les obligations du RGPD. La nomination d’un DPO est obligatoire pour toutes les entreprises traitant un grand nombre de données personnelles.
Un guide pratique très complet pour les PME a été réalisé par la CNIL et la BPI, consultez le ici : https://www.cnil.fr/sites/default/files/atoms/files/bpi-cnil-guide-rgpd-tpe-pme.pdf