Le RGPD (Règlement général de Protection des Données) ou sous son acronyme GDPR (General Data Protection Regulation) est entré en application le 25 mai 2018 dans tous les Etats membres de l’Union Européenne.
Ce règlement donne à chacun un pouvoir supplémentaire en tant que citoyen et résident de l’Union.
Mais il nous concerne aussi tous au niveau professionnel, pour adapter au juste nécessaire la collecte et la gestion des données que nous manipulons dans le cadre de nos activités dans nos organisations.
Enjeux RGPD – Protection du Citoyen
Référent RGPD ou DPO – Sanctions
RGPD Pourquoi ? S’adapter aux enjeux juridiques
Cette réglementation vise à accroître la protection des données personnelles en impactant l’ensemble des acteurs des entreprises. Dans son article 4, le RGPD qualifie de données personnelles « toute information se rapportant à une personne physique identifiée ou identifiable ». Cette personne peut être de ce fait directement ou indirectement identifiée par des éléments propres à son identité physique, génétique, physiologique, psychique, économique, culturelle ou sociale. De ce fait, le RGPD ne s’appliquera pas aux entreprises collectant et traitant des données de personnes morales, à condition de ne pas gérer des données sur leurs représentants (ce qui est cependant très souvent le cas).
Outre les entreprises, le RGPD concerne aussi :
- Les associations qui collectent des informations personnelles sur leurs membres, bénévoles, adhérents,
- ainsi que les collectivités qui » devront ainsi adopter et actualiser des mesures techniques et organisationnelles leur permettant de s’assurer et de démontrer à tout instant qu’elles offrent un niveau optimal de protection aux données traitées » (CNIL)
- Les personnes morales de droit public (EPIC, EPA, hôpitaux, enseignement supérieur, secteur inter-communal, etc).
Les citoyens européens au cœur du dispositif
RGPD Pourquoi sommes-nous tous individuellement concernés ?
Dès l’application de la réglementation, chaque citoyen ou résident européen pourra imposer le RGPD et faire valoir ses droits auprès des entreprises collectant ses données personnelles, qu’elles soient européennes ou non. Le champ d’application est ainsi vaste, des TPE/PME aux banques en passant par les éditeurs d’applications mobiles, les e-commerces et autres, toutes nationalités confondues.
Désigner un référent RGPD ou un DPO
Pour être conformes, les entreprises doivent donc mener une politique de gouvernance des données, et c’est là que nous sommes souvent concernés au niveau professionnel.
La désignation d’un délégué RGPD sera obligatoire en 2018 pour
- les organismes publics,
- les entreprises
- qui ont plus de 250 employés
- qui traitent à grande échelle des données personnelles
- qui traitent des données sensibles (données sur la santé, sur les condamnations pénales, etc).
Le DPO (en français Délégué à la Protection des Données) veillera à la conformité de l’entreprise avec le RGPD et conseillera les responsables de traitement. UN DPO a donc idéalement un profil « juriste spécialisé NTIC » ou est un « spécialiste de traitement des données avec de fortes connaissances juridiques ». Environ 100 000 entreprises semblent être concernées par la nomination d’un DPO. Pour les autres (TPE/PME) la CNIL recommande vivement de clairement identifier un collaborateur référent. Ce sera souvent dans ce cas des personnes ayant une expérience en certification ISO.
Ce DPO ou référent RGPD peut être désigné pour un groupe de structure ou externalisé auprès d’un prestataire.
Par ailleurs, les entreprises devront prouver leur conformité en documentant leur politique (référentiel sécurité) tout en menant des études de risques et d’impacts.
Eviter les sanctions
Ce nouveau cadre légal pose une égalité dans les sanctions entre tous les acteurs de l’entreprise. En cas de non-respect, les entreprises peuvent se voir infliger des sanctions pouvant aller jusqu’à 20 millions d’euros et 4% du chiffre d’affaires (le montant le plus élevé étant retenu, selon la catégorie de l’infraction).
RGPD, Knowllence et ses utilisateurs
Nous tenons à attirer votre attention sur le fait que Knowllence a initié sa démarche de mise en conformité en tant qu’entreprise, éditeur de logiciels gérant potentiellement des données personnelles et sensibles : Voir les engagements RGPD Knowllence.
Nous sommes à ce titre « sous-traitant » d’une partie de traitement de vos données: nous nous engageons à respecter des obligations spécifiques en matière de confidentialité, de sécurité et de documentation de nos processus, et cet article contribue à notre dispositif de conseil et d’information auprès de nos clients et prospects.
- Dans nos logiciels Qualité Conception / Fabrication / DM (modules Need, Structure, FMEA, RM14971, HACCP), nous gérons des données non sensibles d’état civil et professionnelles (Nom, Prénom, adresse mail pro, téléphone) pour donner accès au logiciel et gérer les actions de chacun.
- Dans la version standard de TDC Sécurité, si vous utilisez la vue du personnel rattachée aux modules Accidents du Travail, Risque Chimique, Pénibilité ou Habilitations/Formations, nous gérons:
- des données non sensibles d’état civil et professionnelles (Nom, Prénom, adresse mail pro, téléphone) pour donner accès au logiciel et gérer les actions de chacun,
- des données d’état civil des salariés de nos clients (Nom, prénom, date de naissance, nationalité) et 1 donnée sensible (N° de Sécurité sociale).
Si vous avez une version adaptée sur mesure à vos besoins, nous restons à votre disposition pour vérifier si d’autres données sensibles sont gérées, puisque c’est à chaque organisation (entreprise, collectivité, association) de se mettre aussi en conformité.