RGPD : ce qu'il faut retenir

Mardi 26 septembre 2023

Ecrit par Start People France

Partager sur
Catégories
Juridique / RH

Le Règlement Général sur la Protection des Données (RGPD), qui s’inscrit dans la continuité de la Loi française Informatique et Libertés de 1978, est entré en vigueur il y a 5 ans. Notre équipe fait le point pour vous concernant les principales implications de ce nouveau cadre juridique, qui oblige les entreprises à adapter leurs pratiques, afin de procéder à leur mise en conformité et éviter ainsi une sanction de la CNIL.

En effet, toutes les organisations sont concernées, qu'elles soient publiques ou privées, dès lors qu'elles traitent des données personnelles pour leur compte ou non, si elles sont établies sur le territoire de l'Union Européenne ou que leur activité cible des résidents européens.

Les données personnelles

Une donnée personnelle est définie par la CNIL comme "toute information se rapportant à une personne physique identifiée ou identifiable", cette identification pouvant être réalisée de manière directe ou indirecte, à partir d'une seule donnée ou à partir du croisement d'un ensemble de données.

  • Exemples de donnée permettant une identification directe : nom, prénom
  • Exemples de donnée permettant une identification indirecte : un numéro d'identifiant, un numéro de téléphone, une donnée biométrique, un numéro de sécurité sociale,  des éléments spécifiques propres à l'identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale, mais aussi la voix ou l’image

Les entreprises doivent également indiquer les motifs qui justifient du recueil et du traitement de ces données.

De plus, les candidats et les salariés de l’entreprise doivent être informés de leurs droits en matière de traitement de leurs données personnelles. Tout individu dispose d’un droit d’accès, de rectification et de suppression des informations le concernant. Le RGPD instaure également un droit à la portabilité des données, donnant la possibilité de faire une demande de transfert des données personnelles.

Un traitement des données légitime, déterminé et limité

La CNIL définit le "traitement de données personnelles" comme "une opération, ou ensemble d'opérations, portant sur des données personnelles, quel que soit le procédé utilisé" : collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication...etc. Celui-ci peut être informatisé ou non, les fichiers papier sont également concernés.

Exemples : tenue d'un fichier de salariés, collecte de coordonnées de candidats, mise à jour d'un fichier de fournisseurs...

Le traitement des données doit être désormais limité à ce qui est strictement nécessaire et limité dans le temps. En effet, selon la finalité du traitement, les entreprises doivent définir un délai de conservation de ces données, à l’issue duquel elles devront être effacées.

En cas de transfert des données à des fournisseurs, clients, prestataires, les entreprises doivent, en tant que responsable du traitement de ces dernières, s'assurer que ceux-ci respectent les dispositions du RGPD. Avant tout transfert, un contrat devra être signé avec chaque partenaire. Les entreprises peuvent définir un partage de responsabilité en la matière dans les contrats conclus avec les partenaires commerciaux.

Suivi du traitement des données personnelles

Les entreprises doivent désigner un Délégué à la Protection des Données (DPO). Sa mission est de s’assurer de la mise en conformité des process et de suivre l’application du RGPD en interne.

 

Dès lors que des données personnelles sont traitées de manière systématique, l'entreprise est dans l’obligation de tenir un registre des traitements. Ce dernier remplace l’obligation de déclaration préalable des fichiers auprès de la CNIL.

 

Le registre des traitements représente une cartographie des fichiers contenant des données personnelles. Il doit détailler les responsables de chaque traitement, leurs finalités, les destinataires possibles de ces fichiers, les délais de conservation des données, les mesures de sécurité prises pour garantir la protection des données personnelles.

>> Afin d’accompagner les acteurs du recrutement dans ces démarches, la CNIL a émis un « Guide recrutement » disponible en ligne.

Vous avez encore des questions ?
Afin d’éviter tout risque juridique, n’hésitez pas à contacter votre agence Start People.