La règlementation en matière de protection des données

Toutes les entreprises de propreté ont à traiter des données à caractère personnel. Considérées comme étant des données sensibles, le traitement de celles-ci est encadré par plusieurs règlementations à respecter.

Accueil
RGPD La règlementation en matière de
protection des données Le registre de
traitement des données RGPD et
gestion des RH RGPD et
relations commerciales RGPD et
Internet

Pour ce faire, il convient dans un premier temps de comprendre la composition de cette réglementation.

Composantes de la règlementation

La règlementation en matière de protection des données à caractère personnel s'articule autour du règlement général sur la protection des données et sur la loi informatique et liberté.

Le Règlement Général sur la Protection des Données dit le RGPD

Le RGPD est le règlement européen qui encadre la protection des données personnelles de ses citoyens (adopté le 27 avril 2016 et applicable et obligatoire sur le territoire depuis le 25 mai 2018).

Ce règlement prévoit l’obligation pour toutes les entreprises qui traitent de la donnée à caractère personnel, de transmettre aux personnes concernées une information concise, transparente et compréhensible sur le traitement qui est fait de leurs données et d’obtenir, parallèlement, le consentement libre, clair et spécifique des personnes concernées avant de collecter leurs données.

Ce règlement renforce également les droits des personnes concernées, tels que le droit d’accès, de rectification, d’opposition, de portabilité, d’effacement et de limitation du traitement de leurs données personnelles.

Il est important de noter que le législateur européen ne compte pas s’arrêter en si bonne voie puisque le RGPD sera prochainement suivi d'un second texte : le futur "Règlement concernant le respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques", également dénommé "Règlement vie privée et communications électroniques", ou "Règlement ePrivacy". Ce règlement aura notamment pour objet de modifier les règles applicables aux "traceurs", tels que les "cookies". Pour l’heure, ce projet est en négociations interinstitutionnelles.

La Loi Informatique et Libertés dite LIL

En adoptant la loi "Informatique et libertés" du 6 janvier 1978, la France avait été l'un des premiers États européens à se doter d'une législation globale de protection des données à caractère personnel.

Cette loi, modifiée à plusieurs reprises, fait aujourd’hui partie intégrante de la règlementation portant sur la protection des données personnelles.

Ce texte de loi a été mis à jour en 2022 afin de reprendre, en grande partie, les mesures imposées par le règlement européen tout en apportant certaines précisions sur le traitement de données personnelles dans le domaine de la santé et sur le traitement des données relatives aux infractions et condamnations.

Sanctions encourues en cas de non-respect

Le respect des règles en matière de protection des données à caractère personnel est d’autant plus important que des sanctions peuvent être prononcées en cas de non-respect de ces dispositions.

Sur le plan pénal : la peine peut aller jusqu’à cinq ans d’emprisonnement et de 300 000€ d’amende,
Sur le plan administratif : la sanction pécuniaire peut aller jusqu’à 4% du chiffre d’affaires mondial ou 20 millions d’€ d’amende,
Sur le plan civil : la réparation du préjudice subi par les personnes dont les données ont été traitées illégalement,
Sur le plan de l’image : le fameux "Name and shame" qui désigne le fait de "déclarer publiquement qu'une personne, un groupe ou une entreprise agit de manière fautive". La réputation de votre entreprise est donc remise en cause et la confiance de vos clients et collaborateurs impactée.

Notions-clés concernant les données à caractère personnel

Définition

Le RGPD retient une notion large de données à caractère personnel. Il s’agit de "toute information se rapportant à une personne physique identifiée ou identifiable"; le terme "identifiable" se rapportant à toute personne physique pouvant être identifiée, de façon directe ou indirecte.

En tant qu'entreprise, vous générez des données à caractère personnel lorsque vous effectuez des démarches administratives, vendez une prestation de service, communiquez par mail ou par téléphone avec des candidats ou vos partenaires commerciaux, mettez en place des outils digitaux au profit de vos salariés...

Sont, à titre d’exemples, des données personnelles :

nom/prénom de vos salariés, noms/prénoms des candidats, noms/prénoms des représentants-partenaires commerciaux,
adresse électronique nominative que vous créez pour votre salarié (un mail générique du type "accueil@nomentreprise.fr" n’est pas considéré comme une donnée personnelle),
numéro de téléphone de votre salarié (même s’il s’agit d’un numéro professionnel), numéro de téléphone de vos partenaires,
numéro de sécurité sociale de votre salarié,
cartes de visite qui vous ont été transmises lors d’un événement comportant des données nominatives des personnes,
plaque d’immatriculation du véhicule de votre salarié,
dispositifs permettant la géolocalisation de vos salariés,
identifiant permettant à un de vos clients de se connecter à son compte client sur votre site web.

Cette liste n’est pas exhaustive.

Traitement des données

Un traitement de données personnelles est défini comme "toute opération, ou ensemble d’opérations, effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction" (article 4 alinéa 2 du RGPD).

Il peut s'agir d'un traitement informatisé ou d'un traitement de fichiers papier.

Par exemple, vous réalisez des traitements de données personnelles lorsque :

vous recrutez, car :
- vous recevez des CV, par voie électronique ou remise en main propre
- vous enregistrez les CV reçus dans un dossier de candidature
- vous répondez aux postulants
- vous envoyez une promesse d’embauche à un futur salarié
vous gérez le personnel présent dans l'entreprise, car :
- vous recevez les RIB de vos salariés
- vous procédez au paiement des salaires
- vous inscrivez vos salariés aux formations
- vous prononcez des sanctions
vous mettez en place des outils internes spécifiques, car :
- vous mettez en place une badgeuse permettant l’accès aux bâtiments
- vous mettez en place une pointeuse nominative
- vous dotez les véhicules mis à la disposition de vos salariés d’un outil de géolocalisation
vous communiquez avec vos clients/partenaires, car :
- vous adressez des mails aux adresses mail comportant des données personnelles (comme nom, prénom par exemple)
- vous communiquez par sms

Cette liste n’est pas exhaustive.

A NOTER

Retenez que l’un des principes clés en matière de protection des données à caractère personnel est le principe de minimisation.

Cela implique donc que seules les données adéquates, pertinentes et limitées aux finalités pour lesquelles elles sont traitées doivent être demandées.

Qui est responsable du traitement ?

Le responsable d’un traitement est celui qui détermine les finalités et les moyens du traitement (article 47 du RGPD).

Vous êtes, à titre d’exemple, responsable du traitement lorsque :

vous munissez vos salariés des téléphone portables,
vous recrutez un salarié par le biais d’un cabinet de recrutement,
vous créez un site internet pour votre entreprise en faisant appel à un prestataire de création de sites web.

Cette liste n’est pas exhaustive.

Consentement

Le consentement est défini comme "la volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement" (article 4, alinéa 11 du RGPD).

Autrement dit, le consentement représente l’accord de la personne concernée à ce que ses données soient collectées et utilisées et il assure aux personnes concernées un contrôle sur leurs données, en leur permettant :

de comprendre le traitement qui sera fait de leurs données : mention sur le traitement des CV pour les candidats, clause contrat de travail pour les salariés, note informative pour les salariés disposant de véhicules dotés d’un outil de géolocalisation, charte de protection des données personnelles lors de la mise en place d’un site internet de l’entreprise,
de changer d’avis librement : informer sur les possibilités de retirer le consentement et la manière d’y procéder.

POUR EN SAVOIR PLUS

Un autodiagnostic gratuit

La Confédération des PME (CPME) et la CNIL se sont associées pour mettre à disposition un site vous permettant d'évaluer votre entreprise face au RGPD. Ce site a pour vocation de vous sensibiliser et vous expliquer, par 14 questions simples basées sur des usages, quelles sont les obligations auxquelles vous êtes soumis, quels sont les comportements à proscrire et ceux à privilégier. Il vous permettra aussi de mesurer le chemin parcouru et celui restant à parcourir pour vous mettre dans une démarche de conformité.

Procéder à mon autodiagnostic RGPD