La RGPD pour les artisans
Entré en vigueur en mai 2018, le Règlement Général sur la Protection des Données ou RGPD concerne toutes les organisations et entreprises, y compris les artisans. A partir du moment où ces derniers effectuent des traitements de données, ils sont soumis à ce nouveau règlement qui vient remplacer la directive de 1995, devenue obsolète. Qu’est-ce que le RGPD ? Pourquoi les artisans sont concernés par ce règlement ? Quels en sont les objectifs ? Quelles sont les actions à mettre en œuvre pour être en conformité ?
Qu’est-ce que le RGPD ?
Le Règlement Général pour la Protection des Données (RGPD) est le nouveau cadre européen qui régit la manipulation de données à caractère personnel par les organisations et les entreprises. On appelle donnée personnelle toute information qui permet d’identifier de manière directe ou indirecte une personne physique, comme son nom, son prénom, sa photographie, sa date de naissance, son adresse, son e-mail, son numéro de sécurité sociale, son adresse IP, etc.
Le RGPD est entré en vigueur le 25 mai 2018 et est appliqué dans les 27 pays membres de l’Union Européenne.
Il impose de nouvelles règles de protection et de confidentialité des données personnelles. Plus précisément, il donne à tous les citoyens européens le droit de décider de la conservation ou de l’utilisation de leurs données personnelles. Cela implique pour les entreprises et entrepreneurs, et donc les artisans, de sécuriser les informations concernant leurs salariés, clients et fournisseurs pour qu’elles ne soient pas volées et si c’est le cas de les informer sous 72 heures. Cela signifie aussi demander leur autorisation pour toute utilisation ou conservation de leurs données personnelles.
Qui est concerné par le RGPD ?
Le RGDP concerne toutes les organisations localisées dans un pays européen et qui traitent des données à caractère personnel de personnes résidant dans les Etats de l’Union Européenne. Ainsi, il s’applique aussi bien aux associations, aux administrations, aux grandes entreprises qu’aux PME et TPE. Les artisans et professionnels du bâtiment sont donc bel et bien soumis à cette nouvelle règlementation dès lors qu’ils traitent des données personnelles.
Le contrôle de la bonne application du RGPD relève de la responsabilité de la CNIL ou Commission Nationale de l’Informatique et des Libertés. Les vérifications seront effectuées en ligne, sur audition ou encore sur pièces. La Cnil se basera sur un certain nombre de critères pour faire les contrôles : durée de conservation des données, loyauté du traitement des données, efficacité de la sécurisation des données, etc.
La conformité au RGPD fait encourir aux entreprises des sanctions financières qui peuvent aller jusqu’à 4% du chiffre d’affaires annuel.
Quels sont les objectifs du RGPD ?
Le RGPD vise trois objectifs :
- Renforcer le droit des personnes sur leurs données personnelles
- Responsabiliser les personnes ou entreprises qui manipulent des données à caractère personnel
- Améliorer et simplifier la coordination et la régulation des dispositifs relatifs avec les données personnelles
Se mettre en conformité au RGPD : comment se préparer ?
La CNIL recommande de suivre ces 6 étapes clés pour se conformer au RGPD :
Etape 1 : désigner un pilote ou DPO
Le Délégué à la Protection des Données a pour mission de piloter les procédures de gestion des données personnes au sein de l’entité, et donc de veiller à la conformité au RGPD. Cela concerne surtout les grandes structures. Dans les TPE et PME, ce rôle peut être confié à un salarié ou à un prestataire externe. Vous pouvez faire appel à nos services pour assurer votre mise en conformité au RGPD.
Etape 2 : Cartographier les traitements des données personnelles
Il s’agit de tenir un registre des traitements qui recense les types de traitement de données, les catégories de données traitées et les personnes manipulant ces données. Pour chaque donnée, il faut indiquer les raisons de la collecte des informations, la durée de conservation et le lieu de stockage.
Etape 3 : Prioriser les actions à mettre en œuvre
En se basant sur le registre, il faut identifier les éventuelles anomalies ou traitements à risques, puis déterminer les actions à mener pour se conformer aux dispositions en vigueur. Il faut surtout prioriser les mesures se rapportant aux impacts des traitements sur les droits et libertés des individus concernés.
Etape 4 : Gérer les risques
Au cas où on a identifié des traitements pouvant présenter des risques sur les droits et libertés des personnes, il faut faire une DPIA ou analyse d’impact sur la protection des données. Cette dernière repose sur 2 axes majeurs : les principes et droits fondamentaux non négociables qui sont fixés par la loi et la gestion des risques sur la vie privée des personnes.
Etape 5 : Organiser les processus internes
Pour conserver un haut niveau de protection des données personnelles en tout temps, il faut revoir tous les processus internes, comme l’encodage des données, le contrôle des accès, etc.
Etape 6 : Documenter la conformité
Pour prouver la conformité au RGPD, il faut mettre en place une documentation solide. Pour ce faire, il faut mettre à jour tous les documents liés aux données personnelles.