2018-05-03 03:55:35

Obligatoire à partir du 25 mai 2018 : Protection des données pour toutes les entreprises

Objectifs :

Adapter le droit relatif à la protection des données audéveloppement du numérique ;

Harmoniser le dispositif juridique retenu grâce à un texteunique (le RGPD – Règlement Général de Protection des Données) directementapplicable dans toute l’Union européenne.

En quoi consiste le registre des traitements desdonnées personnelles ?

C’est un fichier électronique – de préférence – ou mêmeéventuellement sous forme « papier » - dans lequel les entreprises doiventfaire figurer tous leurs traitements de données personnelles ;

Ce fichier doit, en permanence, être tenu à la dispositionde la CNIL (Commission nationale de l’informatique et des libertés).

Qu’est-ce-qu’une donnée personnelle ?
Est une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée,directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres.
Exemples :
- nom,
- téléphone,
- date de naissance,
- adresse,
- empreinte digitale,
- numéro d’identification,
- identifiant en ligne,
- etc.
Pour que ces données ne soient plus considérées comme personnelles, elles doivent être rendues anonymes de manière à rendre impossible toute identification de la personne concernée : noms masqués,visages floutés, etc.

Qu’est-ce qu’un traitement des données personnelles ?
Il s’agit de toute opération ou ensemble d’opérations impliquant l’utilisation de données personnelles et qui y sont appliquées.
Exemples d’opérations sur des données :
- la collecte,
- l’enregistrement,
- l’organisation,
- la structuration,
- la conservation,
- l’adaptation ou la modification,
- l’extraction,la consultation,
- l’utilisation,la communication par transmission,
- la diffusion ou toute mise à disposition,
- le rapprochement ou l’interconnexion,
- la limitation,
- l’effacement ou la destruction des données à caractère personnel

Exemples de traitement : gestion du personnel, administration des salaires ;accès à/ou consultation (d’)une base de données de contacts contenant des données à caractère personnel ;envoi d’e-mails promotionnels ;destruction de documents contenant des données à caractère personnel ;publication/affichage d’une photo d’une personne sur un site internet ;

Qui est concerné par la tenue d’un registre de traitement des données ?
- Toutes les entreprises et administrations qui emploient plus de 250 personnes ;
- Celles de moins de 250 personnes n’y sont tenues que si leurs traitements portent sur des données sensibles (condamnations,infractions, etc.).

MAIS : La tenue d’un registre est, en pratique,indispensable pour toute entreprise car elle lui permet de prouver à toutmoment sa conformité au RGPD. Ceci remplace l’ancienne déclaration obligatoireà la CNIL.

ATTENTION : cette obligation concerne aussi bien lesresponsables du traitement que les sous-traitants.

A qui ce registre peut-il être communiqué ?
- Evidemment à la CNIL quand elle en fait la demande ;
- A tout tiers qui en fait la demande, la transparence étant le principe sur lequel il repose.

Que contient le registre ?
Le RGPD ne dresse pas de liste exhaustive des informations devant obligatoirement figurer sur un registre.
Néanmoins, pour être exploitable, il doit obligatoirement contenir les mentions suivantes :
- L’identité et les coordonnées de l’entité concernée (O.P., entreprise ou autre) ;
- Le nom du responsable du traitement ou de son représentant ;
- le nom du DPO (Délégué à la protection des données) si l’on en nomme un ;
- Les finalités du traitement (Gestion des clients, des recrutements, enquête de satisfaction, vidéo-surveillance, etc.) ;
- Les différentes catégories de données traitées (nom, prénom, téléphone, adresse, données bancaires, habitudes de consommation …) ;
- Les personnes concernées par le traitement (clients, salariés, fournisseurs, prospects) ;
- Les destinataires des données (vos salariés, vos prestataires, autorités, partenaires) ;
- Les délais prévus de destruction des données et donc la durée de conservation des données ;
- Enumérer et décrire les mesures de sécurité mises en œuvre, pour protéger les données (Confidentialité, chiffrement, anonymisation, pseudonymisation, sécurisation des postes de travail, etc.).

Pour en savoir plus, contactez la CAPEB Vaucluse : 0490 13 32 70