Il devient impératif pour les entreprises de se mettre en conformité avec ce règlement, notamment au regard des lourdes sanctions prévues : amende jusqu’à 20M€ ou à 4% du chiffre d’affaires annuel mondial en fonction de la sensibilité des données manipulées et du potentiel préjudice pour les personnes concernées.
Afin de vous aider à remplir vos obligations, et en complément du guide (téléchargeable sur votre droite) réalisé par la CNIL et la BPI, la FEP met à votre disposition plusieurs documents qui vous aideront à comprendre et mettre en application les principes de la protection des données. Chaque document (en téléchargement sur votre droite) aborde l'un des thèmes suivants :
- le cadre général relatif à la protection des données personnelles suivant le RGPD (document 1),
- les actions clés de mise en conformité (document 2),
- les exemples d’un registre ou fiches des traitements (document 3)
- un modèle de sensibilisation des collaborateurs - clause à intégrer dans règlement intérieur, engagement de confidentialité à annexer au contrat de travail, note ou mail à envoyer aux salariés (document 4)
- un modèle de mention d’information - information générale, candidats en matière de recrutement, information par téléphone (document 5)
Par ailleurs, nous vous informons qu’en complément de ces documents, la Commission Nationale Informatique et Libertés met à disposition des fiches sur cette thématique.
Un autodiagnostic gratuit
La Confédération des PME (CPME) et la CNIL se sont associées pour mettre à disposition un site vous permettant d'évaluer votre entreprise face au RGPD. Ce site a pour vocation de vous sensibiliser et vous expliquer, par 14 questions simples basées sur des usages, quelles sont les obligations auxquelles vous êtes soumis, quels sont les comportements à proscrire et ceux à privilégier. Il vous permettra aussi de mesurer le chemin parcouru et celui restant à parcourir pour vous mettre dans une démarche de conformité.
FOCUS : la liste des traitements exemptés d’analyse d’impact
Gestion du personnel et de la paie, gestion de la relation fournisseurs,.. sont des exemples de traitement courant dans les entreprises de propreté qui sont exemptés d’Analyse d’Impact de la Vie Privée (AIPD). Cette analyse est principalement obligatoire lorsqu’un traitement de données est susceptible d’entraîner un risque élevé pour la vie privée des personnes concernées, mais s’entend également, le cas échéant pour d’autres droits fondamentaux, tels que la liberté de parole, la liberté de pensée, la liberté de circulation, l’interdiction de toute discrimination, le droit à la liberté ainsi que la liberté de conscience et de religion. Concrètement cela signifie que les responsables de traitement (dirigeants) sont tenus d’évaluer de manière continue les risques crées par leurs activités de traitement dans le but d’identifier quand un type de traitement est susceptible d’engendrer un risque élevé sur les droits et libertés des personnes physiques. A défaut, vous vous exposez à une amende lourde de la part de la CNIL (Commission Nationale de l’informatique et des libertés).
Ainsi, si votre traitement rencontre au moins 2 de ces 9 critères, il est vivement conseillé de faire une AIPD.
- Evaluation ou notation (traitement visant à faciliter le recrutement, notamment grâce à un logarithme de sélection, traitement visant à détecter et à prévenir les départs de salariés sur la base de corrélations établies entre divers facteurs, aspects concernant le rendement au travail de la personne concernée, sa situation économique, sa santé, ses préférences ou centres d’intérêt personnels, sa fiabilité ou son comportement, sa localisation et ses déplacements en vue de créer ou d’utiliser des profils individuels, collecte des données sur les réseaux sociaux,…),
- Décision automatisée avec effet juridique ou effet similaire significatif (le traitement pourrait, par exemple, entraîner l’exclusion ou une discrimination,…),
- Surveillance systématique (Surveillance systématique par une entreprise des activités de ses employés, y compris leur poste de travail, leur activité sur internet, …)
- Données sensibles ou données à caractère hautement personnel (informations concernant les opinions politiques des personnes, des données à caractère personnel relatives aux condamnations pénales ou aux infractions, données de localisation dont la collecte met en cause la liberté de circulation, documents personnels, agendas, communications électroniques dont la confidentialité doit être protégée)
- Données personnelles traitées à grande échelle,
- Croisement d’ensembles de données,
- Données concernant des personnes vulnérables. Peuvent être considérés aussi comme des personnes vulnérables, toutes autres personnes pour lesquelles un déséquilibre dans la relation avec le responsable de traitement peut être identifié,
- Usage innovant ou application de nouvelles solutions technologiques ou organisationnelles (utilisation combinée, par exemple, de systèmes de reconnaissance des empreintes digitales et de reconnaissance faciale pour améliorer le contrôle des accès physiques peut impliquer de nouvelles formes de collecte et d’utilisation des données, présentant potentiellement un risque élevé pour les droits et libertés des personnes,…)
- Exclusion du bénéfice d’un droit, d’un service ou contrat (opérations visant à autoriser, modifier ou refuser l’accès à un service ou la conclusion d’un contrat).
En revanche, certains types d’opérations de traitement sont dispensés de cette formalité. Une liste, non exhaustive de ces traitements est publiée par la CNIL, il s’agit notamment :
- des traitements mis en œuvre uniquement à des fins de ressources humaines et dans les conditions prévues par les textes applicables, pour la seule gestion du personnel des entreprises qui emploient moins de 250 personnes, à l’exception du recours au profilage (gestion de la paie, gestion des formations, remboursement des frais professionnels, suivi des entretiens annuels d’évaluation, utilisation d’outils de communication sans recours au profilage ni à la biométrie…),
- des traitements instaurés aux seules fins de gestion des contrôles d’accès physiques et des horaires pour le calcul du temps de travail, mais à condition qu’il ne s’agisse pas d’un dispositif biométrique et à l’exclusion des traitements des données qui révèlent des données sensibles ou à caractère hautement personnel.