Fermer la publicité

Entreprises : le minimum à savoir sur la protection des données

le 13 juillet 2017 - Caroline DUPUY - Cefim

Entreprises : le minimum à savoir sur la protection des données
G. Majolet - Les participants au petit-déjeuner débat ont fait le point sur la protection des données.

Le barreau de Marseille, en partenariat avec Les Nouvelles Publications-TPBM, la Société marseillaise de crédit et la Cefim, a organisé fin juin un petit-déjeuner sur la protection des données. Un sujet d'actualité et de haute priorité.

Le sujet de ce nouveau petit-déjeuner concerne les entreprises et, par ricochet, leurs conseils. Il est au cœur de l’actualité avec l’adoption le 25 mai 2016 du règlement européen sur la protection des données personnelles (GDPR*). Le compte à rebours est lancé puisque les entreprises devront être conformes au plus tard le 25 mai 2018. « Ce texte fait peser des contraintes supplémentaires sur les entreprises. Il s’inscrit dans une volonté de la Commission européenne de créer un marché de la donnée », explique Jean-Pierre Gasnier, avocat au barreau de Marseille, cabinet Akheos. Pour le bâtonnier de Marseille Geneviève Maillet, très sensible à l’innovation, pas de doute :

« Il ne s’agit pas d’une révolution mais d’une progression. Quand vous vous retrouvez à un carrefour, à un moment important, il convient de prendre la bonne direction. Les dates couperets ne doivent pas nous fragiliser. Il faut franchir un obstacle, puis le suivant. »

Jean-Pierre Gasnier rappelle cependant qu’« il ne reste que huit mois pour la mise en conformité puisque l’été, il ne se passe rien, ni en décembre ni en mai avec les ponts. »

Définitions

Tout commence par des définitions pour bien cerner le sujet. Les données à caractère personnel sont des informations se rapportant à une personne concernée. Il s’agit de données sensibles (données de santé, données génétiques, données biométriques). La personne visée peut être identifiée directement ou indirectement par des moyens raisonnablement susceptibles d’être utilisés par le responsable du traitement ou par toute autre personne physique ou morale. Constitue un « traitement » : « toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel (collecte, enregistrement, conservation, consultation etc.) ». Et comme le précise Jean-Pierre Gasnier, « la mise en œuvre d’une seule de ces opérations suffit à caractériser un traitement de données ». A noter que la finalité du traitement doit être déterminée, explicite et légitime.

Plusieurs acteurs entrent donc en jeu. A commencer par le responsable du traitement. C’est-à-dire la personne, autorité publique, service ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens de traitement de données à caractère personnel. Sont également concernés : le coresponsable de traitement, le sous-traitant (celui qui traite les données à caractère personnel pour le compte du responsable de traitement), le tiers (celui qui sous l’autorité directe du responsable de traitement ou du sous-traitant, est autorisé à traiter les données à caractère personnel), le destinataire (celui qui reçoit la communication de données à caractère personnel). « Il convient donc de bien identifier les acteurs en jeu mais aussi les traitements », insiste Jean-Pierre Gasnier.

Le DPO

Le règlement européen sur la protection des données pose les règles applicables à la désignation, à la fonction et aux missions du délégué à la protection des données (Data Protection Officer - DPO). Le délégué à la protection des données est chargé de mettre en œuvre la conformité au règlement européen sur la protection des données au sein de l’organisme qui l’a désigné. Sa nomination est obligatoire dans certains cas. Et notamment lorsque le traitement est effectué par une autorité publique ou un organisme public. Ou lorsque les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées. Ce DPO est vivement conseillé dans les autres cas. « C’est le garant, au sein de l’entreprise, du respect des engagements pris pour être conforme », résume Jean-Pierre Gasnier.

Nouvelles obligations

Le responsable du traitement réfléchit à la protection des données personnelles en amont de la conception d’un produit ou d’un service. Les entreprises doivent notamment mener des analyses d’impact lorsque des données à caractère personnel doivent être traitées. « Il y a également une obligation d’information claire des personnes dont les données sont collectées quant aux traitements qui seront faits des données et quant aux destinataires de ces données. Des dispositions supplémentaires existent pour les jeunes de moins de 16 ans », ajoute Jean-Pierre Gasnier. A noter que chaque personne a le droit d’obtenir l’effacement des données. De son côté, le responsable de traitement doit effacer les données personnelles lorsque celles-ci ne sont plus utiles. « Cela suppose notamment de classifier les données », note Jean-Pierre Gasnier. Pas de doute, l’entreprise « doit avoir un plan d’action précis. Il faut le voir comme une extraordinaire possibilité de se structurer. »

Même écho du côté d’Ely de Travesio, spécialiste en cybercriminalité, président du Clusir Paca** et vice-président de la CPME 13 (Confédération des petites et moyennes entreprises des Bouches-du-Rhône), qui a souhaité rappeler que « toutes les entreprises sont engagées dans une transformation digitale. Avec un maillon faible : la sécurité. La réglementation juridique, c’est comme une nouvelle règle à appliquer. C’est comme mettre sa ceinture à l’arrière. » Pas de doute pour lui, « chaque entreprise a son ADN. Il n’y a pas une manière commune de faire en matière de sécurité des données. Par contre, les obligations sont les mêmes. Il convient donc de bien comprendre le fond, de savoir pourquoi on fait cela. »

Gestion du personnel

Julia Braunstein, avocate au barreau de Marseille, est ensuite intervenue sur les données personnelles recueillies et traitées dans le cadre du recrutement et de la gestion du personnel. « Le GDPR est clair : les données personnelles recueillies doivent être limitées au minimum nécessaire au regard des finalités du traitement. Alors que jusque-là, la directive communautaire et le droit français imposaient uniquement un traitement de données non excessif. » Toute personne dont les données personnelles sont collectées, doit être informée de l’identité du responsable du traitement, de la finalité du traitement et des destinataires des données. « Il doit être aussi simple de retirer son consentement que de le donner », précise Julia Braunstein. La durée de conservation des données pour un salarié en poste est la suivante : le temps de sa présence dans l’entreprise et pendant cinq ans après la sortie pour certaines informations. « Pour la gestion de tous ces outils et assurer un juste équilibre entre pouvoir de contrôle de l’employeur, sécurité des données de l’entreprise, vie privée du salarié, il est indispensable de mettre en place une charte informatique opposable aux salariés. C’est le règlement intérieur adapté à notre époque », conclut Julia Braunstein.

* General Data Protection Regulation, c’est-à-dire en français le Règlement général sur le protection des données (RGPD).
** Club de la sécurité des systèmes d’information régional.





Les Nouvelles Publications

Hebdomadaire d’informations économiques et juridiques

  • ›   Pour plus de contenu, papier + web
  • ›   l’accès aux annonces légales,
Abonnement Les Nouvelles Publications› Abonnez-vous ‹

À lire également


Réagir à cet article

Message déjà envoyé Adresse e-mail non valide