Zoom sur le Règlement Général sur la Protection des Données Personnelles
Nous vous rappelons que le Règlement Général sur la Protection des Données personnelles (RGPD) entrera en vigueur le 25 mai 2018.
Si vous le souhaitez, nous pouvons vous accompagner dans ces démarches visant à vous mettre en conformité avec le RGPD.
Objectif du RGPD
Le règlement permet de s’adapter aux nouvelles réalités du numérique en répondant à un double objectif :
• Redonner aux citoyens le contrôle de leurs données personnelles ;
• Responsabiliser les acteurs traitant des données (responsables de traitement et sous-traitants).
Ainsi, dès lors que vous détenez des données personnelles, vous devrez obligatoirement initier une démarche de mise en conformité avec les dispositions du règlement.
Les démarches pour être conforme au Règlement
Plusieurs démarches sont obligatoires :
1° Inclure dans une charte informatique dédiée aux salariés des informations spécifiques
Un modèle de Charte est proposé par la CNIL, et précise qu’il faut inclure, par exemple :
- le rappel des règles de protection des données et les sanctions encourues si elles ne sont pas respectées
- les modalités d’intervention des équipes chargées de la gestion des ressources informatiques dans votre société
- les modalités d’utilisation des moyens informatiques et de télécommunication étant mis à disposition : poste de travail, équipements nomades, espaces de stockage individuel, réseaux locaux, messagerie électronique, Internet, téléphonie)
2° Inclure dans cette Charte les obligations et interdictions incombant aux salariés
Dans le cadre de la protection des données personnelles, la CNIL précise également d’inclure des choses exigées de la part des salariés :
- de signaler au service informatique interne toute violation ou tentative de violation suspectée de son compte informatique et de manière générale tout dysfonctionnement
- verrouiller son ordinateur quand on quitte son poste de travail
- respecter certaines procédures (exemple : demander l’aval de son manager) pour encadrer certaines opérations (comme la copie de données sur clé USB)
La CNIL donne également les interdictions à mentionner comme :
- confier ses identifiants et mots de passe à un tiers
- copier, installer, modifier ou détruire des logiciels sans autorisation
- supprimer des informations, si cela ne correspond pas aux tâches assignées au salarié
3° Prévoir une clause de confidentialité dans les contrats de travail
Si les salariés sont amenés à travailler avec des données personnelles, il devient obligatoire d’inclure une telle clause. La CNIL propose également sur son site des modèles.
4° Gérer la sous-traitance
Le RGPD exige aussi, entre autre :
- que l’on demande des sous-traitants des garanties et une communication de leur politique de sécurité des systèmes d’information
- la mise en place de certaines clauses contractuelles spécifiques relatives à la confidentialité des données, des contraintes d’authentification des utilisateurs, la destruction ou restitution des données en fin de contrat, les règles de gestion et de notification des indidents
- que les entreprises n’aient recours à des service de Cloud que sous certaines conditions : connaître la localisation des données ou s’assurer des conditions légales et formalités pour un transfert des données hors UE
Les sanctions pour non-respect du RGPD
En cas de non-respect du règlement, les amendes administratives pourront s’élever, pour les cas les plus graves, jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu.