Le Règlement Général de l'Union européenne sur la Protection des Données (RGPD) entre en application le 25 mai. Il pose le cadre réglementaire d’une nouvelle économie de la donnée. Toutes les entreprises qui ont à traiter des données permettant d’identifier des personnes physiques sont concernées. Usage accru du numérique, développement du commerce en ligne et à l’échelle internationale… Nous sommes tous amenés à transmettre des données personnelles et, en tant qu’entreprise, à gérer ce type de données. Face aux évolutions technologiques et sociétales, le contexte juridique s’adapte avec la mise en œuvre du RGPD. S’inscrivant dans la continuité de la Loi française « Informatique et Libertés » de 1978, ce règlement s’applique à toute organisation, publique et privée, qui traite des données personnelles pour son compte ou non dès lors : Qu’elle est établie sur le territoire de l’Union européenne Que son activité cible directement des résidents européens Le RGPD oblige à plus de transparence dans les relations avec ses interlocuteurs : clients, salariés, prospects, fournisseurs… Renforcer les droits des personnes Les droits des individus sont renforcés ou maintenus. Il s’agit des droits d’opposition, d’accès, de rectification ou de suppression des données. De nouveaux droits apparaissent : Droit à la limitation du traitement : les données peuvent être gelées pendant le temps nécessaire Droit à l’oubli numérique : possibilité d’obtenir l’effacement des données et leur déréférencement des moteurs de recherche Droit à la portabilité : possibilité de récupérer ses données pour les réutiliser à des fins personnelles (ex. les transmettre à un autre prestataire) Le RGPD apporte, en outre, des protections spécifiques pour les mineurs. Responsabiliser les organismes qui traitent des données Une entreprise qui traite des données personnelles doit : Tenir à jour un registre des activités de traitement des données, qu’elles soient électroniques ou non, en s’assurant de l’exactitude et de la mise à jour des données enregistrées dans ses fichiers. Elle doit, en outre, ne collecter que ce dont elle a besoin (principe de « minimisation des données »). Mettre en place une politique interne de protection des données personnelles. Des mesures spécifiques s’appliquent aux données dites « sensibles ». Par ailleurs, toute entreprise qui traite des données personnelles doit obtenir le consentement de ses interlocuteurs et les informer de leurs droits et des moyens mis à leur disposition pour les faire valoir. A noter également que le RGPD prévoit une notion de coresponsabilité entre un fournisseur/sous-traitant ou prestataire de services et le responsable du traitement des données au sein de l’entreprise. En cas de non-respect des dispositions du RGPD, les amendes peuvent s’élever de 2 % à 4 % du CA annuel mondial d’une entreprise. Consciente que la plupart des TPE/PME ne seront pas prêtes dès le mois de mai, la CNIL ne "punira" pas les entreprises n’ayant pas achevé leur processus de mise en conformité pour cette date. Il faudra néanmoins être en mesure de démontrer que la démarche est lancée et respecter les principes de base de la protection des données. Atrihom et le RGPD De par notre activité, nous collectons et traitons régulièrement des données personnelles. Nous travaillons actuellement sur la mise en conformité de notre politique de protection des données au RGPD. Ce sujet fera l’objet d’un emailing spécifique destiné à nos clients, les entreprises comme les candidats et salariés intérimaires. Si, comme nous, vous avez besoin d'aide sur le sujet :-) : Site de la CNIL En collaboration avec BPI France, la CNIL a édité un guide pratique à l'attention des TPE/PME
