Blog

Protection des données : vos obligations

Le règlement général sur la protection des données (RGPD) de l'UE fixe des règles strictes concernant la collecte, le stockage et l'utilisation des informations personnelles sur les clients et le personnel. Le non-respect de ces règles peut entraîner une amende allant jusqu'à 4 % de votre chiffre d'affaires annuel mondial ou 20 millions d'euros, le montant le plus élevé étant retenu. Nous examinons ici vos obligations

Les données personnelles désignent toutes les informations dont vous disposez sur vos clients et votre personnel, qu'il s'agisse de leur adresse ou de leur opinion sur vos produits et services. Il s'agit essentiellement de toutes les données permettant d'identifier un individu et, en vertu du RGPD, elles comprennent un éventail d'informations plus large qu'auparavant, notamment des identifiants en ligne tels que les adresses IP et même certaines données pseudonymisées. Quelle que soit l'utilisation que vous faites des données personnelles, vous devez vous conformer au RGPD, qui tente de protéger la vie privée des individus tout en permettant aux entreprises et autres organisations de fonctionner efficacement.

"Il est important de s'assurer que la vie privée d'un individu est protégée dès que ses informations sont reçues", explique Peter Driscoll, ex-président de l'Association nationale des délégués à la protection des données. "Et vous ne devez utiliser les informations qu'aux fins pour lesquelles vous avez dit que vous les utiliseriez. Si vous dites à quelqu'un que ses informations seront utilisées pour payer son compte, vous ne devez pas les utiliser pour des études de marché."

Exigences de base en matière de protection des données

Toutes les données que vous recueillez doivent être exactes, mises à jour et supprimées (ou éliminées d'une autre manière) lorsque vous n'en avez plus besoin. S'il s'agit d'informations sensibles (appelées "données de catégorie spéciale" dans le RGPD) qui concernent l'origine ethnique, l'appartenance à un syndicat, les convictions personnelles, les informations d'identification biométriques, la génétique, la santé et ainsi de suite, vous devez respecter des exigences plus strictes pour les utiliser.

L'obligation de notifier votre traitement à l'Information Commissioner's Office (ICO) ne s'applique plus dans le cadre du RGPD, mais de nombreuses organisations utilisant des données personnelles seront toujours tenues de payer une taxe à l'ICO.

"La collecte et l'utilisation des informations personnelles doivent être "équitables", explique Phil Jones, porte-parole de l'ICO. Le RGPD exige que les données personnelles soient :

Traitées légalement, équitablement et de manière transparente.

Collectées pour des finalités déterminées, explicites et légitimes et ne soient pas utilisées ultérieurement de manière incompatible avec ces finalités.

Adéquates, pertinentes et limitées à ce qui est nécessaire pour la ou les finalités pour lesquelles elles sont utilisées.

Exactes et tenues à jour.

Conservées pendant une durée n'excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles ont été initialement collectées.

Utilisées de manière sécurisée, protégées contre la perte, la destruction ou les dommages accidentels, et contre le traitement non autorisé ou illégal.

Le RGPD impose à certaines organisations de nommer un délégué à la protection des données (DPD). Même si votre organisation n'est pas légalement tenue d'en nommer un, un DPD peut être très utile pour garantir que vous vous conformez correctement à vos obligations.

Les DPD peuvent être nommés en interne ou sous-traités. Le travail d'un DPD consiste à contrôler la conformité de votre organisation avec le GRPD, en veillant à ce que tout le monde soit informé des obligations pertinentes en vertu de la loi et, en particulier, en donnant des conseils sur l'utilisation des données personnelles, par exemple dans le cadre de nouveaux projets.

Les DPD doivent être indépendants et leurs autres fonctions (le cas échéant) ne doivent pas entrer en conflit avec leur poste de DPD. Les DPD ne rendent compte qu'au niveau le plus élevé de la direction d'une organisation.

Sécurité des données

Toutes les informations personnelles que vous stockez sur des ordinateurs ou dans des dossiers papier ne doivent être accessibles qu'aux personnes autorisées à les consulter. Vous ne pouvez pas les transmettre à d'autres organisations sans autorisation ou sans motif valable, par exemple pour donner les coordonnées du personnel à un bureau de paie. Le transfert de données personnelles à des tiers pour tout type de traitement doit également être régi par un contrat.

"Je vous recommande de demander conseil à un expert", conseille M. Driscoll. "Mais il y a certaines choses que vous pouvez faire vous-même, comme mettre en place des mots de passe pour chaque utilisateur d'ordinateur dans votre entreprise, et protéger par mot de passe les fichiers qui contiennent des informations sensibles."

Les dossiers papier sont également couverts par le RGPD et doivent être conservés sous clé ou stockés en toute sécurité hors site. Vous devez également vous assurer que votre personnel sait qu'il ne doit pas discuter des informations sur les clients avec des personnes qui ne sont pas autorisées à y accéder.

Outre la mise en place de politiques et de procédures, il peut être utile d'envisager des formations et d'autres méthodes de sensibilisation à la protection des données pour le personnel concerné. Si vous disposez d'un DPD, cela devrait être l'une de ses responsabilités.

Droits du personnel et des clients en matière de données

Les personnes ont un certain nombre de droits en vertu du RGPD. Ils doivent être informés de l'utilisation que vous faites de leurs données, combien de temps elles seront conservées, avec qui elles seront partagées, et bientôt. Parmi les autres droits essentiels, citons le droit de faire corriger des données incorrectes et le droit de s'opposer à votre traitement des données personnelles ou de le restreindre (par exemple pour empêcher le marketing direct).

Les clients et autres personnes ont le droit de consulter toutes les informations que vous détenez à leur sujet. La plupart des demandes doivent être traitées gratuitement (les demandes particulièrement onéreuses ou répétitives peuvent être facturées dans certains cas, mais uniquement pour couvrir les coûts réels encourus) et vous êtes tenu de répondre dans un délai d'un mois dans la plupart des cas.

Le personnel est également autorisé à consulter son dossier personnel, y compris les documents relatifs aux questions disciplinaires. Vous n'êtes pas autorisé à transmettre des informations sur un employé à qui que ce soit sans son consentement. Si les clients ou le personnel estiment que vous ne respectez pas le RGPD, ils peuvent se plaindre auprès de l'ICO.

L'OIC propose un outil d'auto-évaluation de la protection des données et un guide du RGPD très utiles.