Dès lors que vous détenez des fichiers, en papier ou informatisés, avec des informations concernant des personnes physiques (prospects, clients, salariés…), vous devez respecter le règlement général de protection des données (RGPD) sous peine d’être lourdement sanctionné par la CNIL. BROOKÉO vous explique tout !
La commission nationale de l'informatique et des libertés (CNIL) est l’organisme en charge de la protection des données personnelles contenues dans les fichiers et traitements informatiques ou papiers, aussi bien publics que privés. Cette année, elle a fêté ses 45 ans d’existence !
La CNIL est chargée de veiller à ce que l'informatique soit au service du citoyen et qu'elle ne porte atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques.
Elle a un rôle d'alerte, de conseil et d'information et dispose également d'un pouvoir de contrôle et de sanction. C’est elle qui est en charge de l’application du RGPD.
Le règlement général de protection des données (RGPD) est un texte réglementaire européen qui encadre le traitement des données de manière égalitaire sur tout le territoire de l’Union européenne. Il est entré en application le 25 mai 2018.
Tout organisme quel que soit sa taille, son pays d’implantation et son activité, peut être concerné par le RGPD. Il s’applique à toute organisation, publique et privée, qui traite des données personnelles pour son compte ou non, dès lors :
• qu'elle est établie sur le territoire de l’Union européenne ;
• ou que son activité cible directement des résidents européens.
En tant que MIOBSP, établi en France, vous êtes concerné par le RGPD et avez l’obligation de l’appliquer.
Pour comprendre le RGPD en deux minutes :
Pour tous les fichiers que vous détenez, en papier ou informatisés, qui contiennent des informations personnelles concernant des personnes physiques (prospects, clients, salariés…), vous devez :
• déterminer l’objectif du fichier ;
• déterminer la finalité du traitement des données, qui doit être légale et légitime au regard de votre activité professionnelle ;
• conserver les données dans un délai raisonnable et proportionné à l’objectif poursuivi ;
• supprimer les données de votre base ou les anonymiser, une fois le délai dépassé.
Bon à savoir : est entendue comme « donnée personnelle », toute information se rapportant à une personne physique identifiée ou identifiable.
Vous devez documenter et suivre les activités de traitement des données à caractère personnel faites par votre entreprise au sein d’un registre de traitement des données personnelles.
Ce registre est un outil de pilotage et de démonstration de votre conformité au RGPD. Il doit refléter la réalité de vos traitements de données personnelles et vous permet d’identifier précisément :
• les parties prenantes qui interviennent dans le traitement des données ;
• les catégories de données traitées (identité, état civil…) ;
• à quoi servent ces données (finalité) ;
• qui accède aux données ;
• à qui elles sont communiquées ;
• combien de temps vous les conservez ;
• comment elles sont sécurisées.
Afin de pouvoir déterminer chacun des points susvisés, vous devez vous demander : ai-je vraiment besoin de cette donnée ? Pendant combien de temps ai-je besoin de la conserver ? Est-elle suffisamment protégée ? etc.
La création et la mise à jour du registre de traitement des données personnelles sont l’occasion d’identifier les risques au regard du RGPD.
En tant qu’entreprise de moins de 250 salariés, vous bénéficiez d’une dérogation en ce qui concerne la tenue du registre de traitement des données personnelles.
Vous devez inscrire au registre seulement le traitement des données suivantes :
• les traitements non occasionnels (exemple : gestion de la paie, gestion des clients/prospects et des fournisseurs, etc.) ;
• les traitements susceptibles de comporter un risque pour les droits et libertés des personnes (exemple : systèmes de géolocalisation, de vidéosurveillance) ;
• les traitements qui portent sur des données sensibles (exemple : données de santé, infractions, etc.).
Bon à savoir : le RGPD impose uniquement que le registre se présente sous une forme écrite. Le format du registre est libre et peut être constitué au format papier ou électronique.
Vous pouvez trouver un modèle de registre sur le site de la CNIL.
Le RGPD confère aux personnes dont les données sont collectées, un droit d’accès, d'interrogation, de rectification, d'effacement, de limitation et d’opposition au traitement de leurs données personnelles.
Si vous ne respectez pas le RGPD, vous vous exposez à des sanctions de la part de la CNIL. Ces sanctions peuvent intervenir à l'issue d’un contrôle ou de plaintes et sont de plusieurs ordres :
• rappel à l’ordre ;
• injonction à mettre le traitement en conformité, y compris sous astreinte ;
• limitation temporaire du flux de données ;
• ordonnance de satisfaire aux demandes d'exercice des droits des personnes, y compris sous astreinte ;
• amende administrative.
Le montant des sanctions pécuniaires peut s’élever jusqu’à 20 millions d’euros ou jusqu’à 4 % du chiffre d’affaires annuel de l’entreprise. Des montants qui incitent à bien appliquer la réglementation !
BROOKÉO vous accompagne !
Que vous soyez déjà MIOB en regroupement de crédits ou que vous souhaitiez le devenir, BROOKÉO vous accompagne. Bénéficiez de tous les avantages du packageur : analystes experts, formations commerciales, accompagnement juridique… N’attendez plus pour nous rejoindre ! Déposez, dès à présent, votre demande de rappel ou contactez-nous au 03 28 38 78 44. Nous vous répondrons dans les meilleurs délais.
Photo illustration : @Romain Talon – stock.adobe.com.
Source : cnil.fr.