Le nouveau règlement général 2016/679 relatif à la protection des données à caractère personnel (« RGPD ») est officiellement applicable dès aujourd’hui.
Dans le cadre de ses activités quotidiennes, votre entreprise est amenée à traiter des données personnelles, à savoir, des données permettant d’identifier directement ou indirectement une personne physique (nom, prénom, adresse email même professionnelle, signature, coordonnées bancaires, cv, copie de pièce d’identité, données liées au salaire ou à l’expérience professionnelle, etc.). Ces données peuvent concerner vos employés et leurs familles, des postulants envoyant leur cv, des consultants externes, vos sous-traitants (personnes de contact, employés, etc.), vos clients (employés, personnes de contact, directeur, etc.) et autres tiers avec lesquels votre entreprise contracte et interagit ou au sujet desquels vous obtenez des données personnelles directement ou indirectement (bénéficiaires économiques dans le cadre de vérifications liées à vos obligations AML, etc.).
Le RGPD introduit un certain nombre de nouvelles obligations à la charge des entreprises agissant en tant que responsable de traitement (entité qui détermine les finalités et les moyens du traitement) ou comme sous-traitant traitant des données à caractère personnel pour le compte du responsable du traitement.
Afin de pouvoir s’y préparer, il est nécessaire de lancer un projet en interne et de faire le point sur l’état actuel de conformité de votre entreprise et mettre en place les mesures nécessaires.
Qu’est-ce que le fameux principe d’”Accountability” et comment vous y conformer?
Le RGPD transforme la manière dont les entreprises peuvent gérer et prouver leur conformité aux obligations en matière de protection des données personnelles en supprimant les formalités administratives (notifications préalables, demandes d’autorisation, etc.) devant jusqu'alors être effectuées auprès des autorités locales compétentes (pour le Luxembourg, la Commission Nationale pour la Protection des Données « CNPD »). A compter d'aujourd'hui, les entreprises seront tenues (i) de mettre en place les mesures qu’elles estiment nécessaires au regard de la nature, de la portée, du contexte et des finalités des traitements qu’elles effectuent ainsi que des risques potentiels pour les droits et libertés des personnes concernées et (ii) de documenter cette mise en conformité.
- La première étape consiste toujours à procéder à un inventaire des traitements de données effectués. Cet inventaire doit notamment vous permettre d’identifier la nature des données personnelles traitées, pour quelles finalités et sur laquelle des bases légales listées dans le RGPD, le lieu et la durée de conservation de ces données, les potentiels destinataires, etc.
Le RGPD donne quelques pistes concernant les éléments à mettre en place. Notamment, les entreprises doivent mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque. Ces mesures de sécurité peuvent être variées et doivent permettre de pouvoir garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitements ainsi que la disponibilité des données et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique.
Dans le cadre de votre inventaire, vous devez travailler de concert avec vos équipes IT afin d’identifier les mesures de sécurité encadrant les traitements effectués et vous poser les bonnes questions : les accès aux applications IT ou serveurs contenant des données personnelles sont-ils bien gérés et suffisants ?; les employés ont-ils la possibilité d’encrypter leurs emails sortants ou de protéger certains documents par un mot de passe ?; nos systèmes sont-ils bien protégés contre les intrusions externes et contre une utilisation abusive de la part de nos employés (encadrement et restriction des connexions de ports USB, etc.) ?; avons-nous un programme de continuité des opérations ?; avons-nous une procédure d’archivage, de classification ou de destruction de documents ?.
Le RGPD prévoit également l’obligation de nommer un délégué à la protection des données (« DPO ») dans certains cas spécifiques. Si vous ne tombez pas dans le champ de cette obligation, il est tout de même fortement conseillé de désigner une personne en interne qui sera en charge de maintenir une gouvernance appropriée en matière de protection des données personnelles et de vérifier que l’entreprise reste en conformité avec ses obligations.
Les entreprises sont en outre tenues de maintenir un registre des activités de traitement qui doit contenir un certain nombre d’informations listées par le RGPD. Un inventaire préalable bien fait vous donnera une base solide pour préparer votre registre. Les autorités belges et françaises ont publié un modèle de registre que vous pouvez utiliser.
Enfin, certains types de traitements listés par le RGPD et d’autres traitements identifiés comme pouvant constituer un risque devront faire l’objet d’une analyse d’impact. L’autorité française a publié un formulaire qui peut être utilisé dans ce cadre.
Comment gérer les droits des personnes concernées?
La législation actuelle donne déjà aux personnes concernées un certain nombre de droits en ce qui concerne la gestion de leurs données personnelles par des tiers. Le RGPD est venu renforcer ces droits existants et les compléter avec de nouvelles prérogatives pour les individus dont vous traitez des données.
Les entreprises ont l’obligation de fournir un certain nombre d’informations préalables aux personnes concernées afin d’expliquer la manière dont ces données seront conservées et traitées. Le RGPD vient ajouter des informations à la liste déjà existante.
- Afin de se conformer à cette obligation il va falloir adapter les documents correspondants (clauses dans les contrats de travail, dans les conditions générales ou contrats signés par vos clients ou vos sous-traitants, information dans les emails de réponse envoyés suite à la réception de cv par un candidat, etc.).
Parmi l’ensemble des droits octroyés aux personnes concernées, figurent également notamment (i) le droit d’obtenir la confirmation que ses données personnelles sont traitées par l’entreprise, et si oui, de demander l’accès à ces données ainsi que certaines informations relatives au traitement, (ii) le droit d’obtenir que les données soient rectifiées ou complétées, (iii) le droit d’obtenir l’effacement de ses données, (iv) le droit d’obtenir la limitation du traitement, (v) le droit de recevoir les données et de les transmettre à un autre responsable de traitement et (vi) le droit de s’opposer au traitement de ses données. Le RGPD pose des conditions spécifiques dans le cadre desquelles de telles demandes peuvent être effectuées.
La réception et la gestion de ces demandes doit se préparer en interne et faire l’objet de plusieurs actions préparatoires au sein de votre entreprise afin d’être à même de gérer au mieux toute requête à partir d'aujourd'hui :
- Mettre en place un système de réception des plaintes. Il peut s’agir de la création d’une adresse email dédiée ou de la mise en place d’un outil de gestion des plaintes qui vous assistera dans ce processus, tel que l’outil MyDPRights. Peu importe le canal de réception choisi, il est important que les personnes concernées puissent trouver facilement et sans frais le moyen de vous contacter.
- Identifier la ou les personne(s) qui seront en charge de recevoir, coordonner en interne et gérer ces demandes (DPO ou autre). Cette personne devra vérifier que chaque demande est traitée dans le délai d’un mois prévu par le RGPD.
- Créer une procédure interne à suivre afin d’encadrer par écrit le processus de réception des demandes, de vérification de l’identité de la personne vous contactant et de préciser les critères à prendre en compte afin de déterminer (i) si une demande est valide ou non et (ii) si vous pouvez favorablement y répondre. En effet, vous ne pourrez pas faire droit à une demande d’effacement si vous êtes toujours légalement tenu de conserver les données visées ou êtes en relation contractuelle avec cette personne.
Comment gérer vos sous-traitants ?
Tel que déjà prévu dans le cadre de la législation actuelle, l’utilisation d’un sous-traitant, à savoir une entité qui traite des données personnelles au nom et pour le compte de votre société, doit être encadrée par un contrat écrit ou tout autre acte juridique contenant des mentions obligatoires, mentions largement étendues par le RGPD afin de couvrir les obligations des sous-traitants dans le cadre du règlement.
Ainsi, les actions suivantes devront être prises :
- Effectuer un inventaire de vos sous-traitants actuels et vérifier si les contrats signés avec ces derniers contiennent des clauses adaptées dans le cadre du RGPD. En fonction du type de données auxquelles le sous-traitant peut avoir accès et de la nature des services proposés, il peut être nécessaire de contacter ce dernier afin de lui faire signer un avenant contenant les mentions contractuelles liées au traitement de données personnelles ou un contrat spécifique encadrant ce traitement ;
- Si vous agissez en tant que sous-traitant, adaptez vos modèles de contrats ou conditions générales signées par vos clients afin d’y insérer les clauses obligatoires visées par le RGPD et proposez si nécessaire la signature d’un contrat encadrant les traitements de données personnelles.
Comment gérer vos transferts de données ?
Si votre entreprise transfère des données personnelles hors de l’Espace Economique Européen vers un pays considéré comme n’offrant pas un niveau de protection suffisant, il est important de s’assurer que les garanties appropriées prévues par le RGPD sont bien mises en place. Il pourra s’agir de la signature avec le destinataire des données (intra groupe ou vers des tiers) de clauses contractuelles types se trouvant sur le site de la Commission Européenne, de la collecte du consentement préalable des personnes concernées par ce transfert ou de la mise en place de Règles d’Entreprises Contraignantes au sein d’un groupe d’entreprises.
Comment gérer vos obligations en matière de violation de données personnelles ?
Le RGPD impose aux entreprises responsables de traitements de notifier une violation de données personnelles à l’autorité de contrôle compétente, et dans certains cas les personnes concernées, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d'engendrer un risque pour les droits et libertés des personnes concernées.
La CNPD a mis à disposition sur son site Internet un formulaire de notification de violation, qu’il est recommandé d’utiliser.
- Afin de pouvoir réagir vite dans le cadre du délai imparti en cas de violation, il est conseillé d’établir en amont une procédure écrite interne à suivre afin (i) de déterminer les personnes responsables en interne pour gérer et prendre la décision de notifier ou non, (ii) de préciser les critères à prendre en considération afin d’établir si la violation est susceptible d’engendrer un risque pour les personnes concernées, (iii) de lister les informations devant être fournies à la CNPD et établir la procédure à suivre afin de les collecter et (iv) de déterminer le format de communication aux personnes concernées le cas échéant.
Audrey Rustichelli - Head of Technologies & IP - rustichelli@mnks.com