Ecrit par : Bernard Béguin le 09/04/2018 - Lu : 420 fois - Commentaire : Aucun
Vous êtes ici : Accueil >> Articles

Protection des données : les portés salariés concernés par le RGPD

Le Règlement Général sur la Protection des Données (RGPD) entrera en vigueur le 25 mai 2018. Il pose de nouvelles obligations aux structures et sous-traitants qui collectent, utilisent, gèrent ou manipulent des fichiers de données personnelles.

Les prestataires en portage salarial sont-ils concernés ?

Oui, à la fois dans le cadre de la promotion de leurs activités et de certaines missions de sous-traitance. Bien que salariés d’une société de portage, les portés engagent la responsabilité de leur structure, qui concrètement ne pourra pas vérifier la conformité des bases de données de chacun de leur collaborateur.

Source : cnil.fr

Qu’est-ce que le RGPD ?

RGPD, un règlement européen

Le Règlement Général sur la Protection des Données (RGPD) est le nouveau cadre réglementaire européen applicable au 25 mai 2018 pour le traitement et la circulation des données personnelles. Il concerne tous les résidents de l’Union européenne. Il renforce les principes de la loi Informatique et Libertés et ouvre de nouveaux droits aux citoyens sur l’utilisation et la protection de leurs données. Jusqu’à présent, les structures qui traitaient des données personnelles étaient soumises à des autorisations et à des déclarations préalables auprès de la CNIL. Désormais, c’est le principe du contrôle de conformité continue qui prévaut avec l’obligation de respecter le nouveau règlement tout au long du cycle de vie des données personnelles collectées et utilisées.

Quels sont les objectifs du RGPD ?

Le RGPD vise trois grands objectifs : renforcer le droit des personnes physiques sur leurs données personnelles, responsabiliser les acteurs qui traitent des données ainsi que leurs sous-traitants, crédibiliser la régulation en renforçant la coopération entre les acteurs en charge de la protection des données notamment dans le cadre de traitements transnationaux.

Qui est concerné par le nouveau RGPD ?

En pratique est concernée toute personne morale (TPE, PME, associations, collectivités, micro-entrepreneurs, professionnels en portage salarial via leur société de portage, grands groupes, etc.) qui collecte des données personnelles sur des personnes physiques et les traite. On entend par traitement des données personnelles, toute opération visant à les organiser, les conserver, les modifier, les rapprocher d’autres données, les transmettre par traitement informatique ou sur fichier papier.

En somme, vos fichiers clients ou prospects, vos bases de données créées à partir de fiches contacts générées par votre site internet, vos adhérents, … entrent dans le champ réglementaire du RGPD dès lors que vous nommez des personnes physiques. Seules les données des personnes morales sans mention du nom du dirigeant (entreprises, associations) ne sont pas concernées par le RGPD.

Quelle est la définition d’une donnée à caractère personnel ?

C’est une information qui permet de manière directe ou indirecte d’identifier une personne physique. La CNIL donne les exemples suivants : un nom, une photo, une adresse postale, une adresse e-mail, un numéro de téléphone, un identifiant de connexion internet, un enregistrement vocal, un numéro de sécurité sociale, etc. Dans des cas précis, les informations sensibles (idée politique, appartenance ethnique, etc.) ont un encadrement très strict.

Quelles sont les nouvelles obligations ?

Il revient aux responsables de traitement des données de donner aux personnes physiques concernées plusieurs garanties. La CNIL définit trois enjeux prioritaires :

1. « Transparence et consentement renforcé »

L’information sur le traitement des données doit être claire, compréhensible et facile d’accès. Concrètement, les personnes physiques doivent être informées sur les conditions d’utilisation des données. Qui va les utiliser ? Quelle est la finalité du fichier (prospection commerciale, gestion de la clientèle, enquête, …) ? Combien de temps seront enregistrées les données ?

Le consentement des personnes doit être sans ambigüité et une preuve du consentement doit être gardée. A tout moment, les personnes peuvent faire valoir leur droit à l’oubli ou à la suspension du traitement de leurs données.

2. « De nouveaux droits »

Le nouveau règlement introduit le droit à la portabilité des données. Chacun peut ainsi demander à récupérer les informations le concernant dans une forme facilement réutilisable, via un téléchargement selon la juriste du CNIL que nous avons contactée. L’objectif étant de permettre à chacun sur demande de gérer et réutiliser ces informations en les transférant par exemple à une autre structure.

Les données concernant les mineurs de moins de 16 ans sont désormais très encadrées : une information claire et précise compréhensible par l’enfant doit être rédigée en cas de collecte d’informations personnelles et un consentement auprès du représentant de l’autorité parentale doit être obtenu. A la majorité des enfants, les informations doivent pouvoir être détruites.

Les associations des droits et libertés voient leur action élargie puisqu’elles pourront faire des recours collectifs en cas de manquement.

Enfin, un droit de réparation à un préjudice subi en cas de violation du RGPD est mis en place à l’encontre à la fois du responsable du traitement des données et de son ou ses sous-traitants.

3. « La protection des données dès la conception et par défaut »

Sécurité pour les données

Cette obligation impose que toutes les mesures nécessaires à la protection des données soient définies dès la conception d’un projet ou d’un service et que le principe de la collecte des informations à minima soit appliqué. Il faudra donc se poser la question de la pertinence des informations collectées et la justifier dans un registre en fonction de la finalité de la base de données. En somme, si vous avez des mentions autres que le nom et les coordonnées d’une personne, sont-elles pertinentes pour votre projet ou pas ? Et pouvez-vous l’argumenter ?

Quelle que soit la structure qui manipule des données personnelles - du consultant porté à la grande entreprise – elle doit impérativement mettre en œuvre tous les moyens nécessaires pour que ces informations soient sécurisées pour éviter toute faille ou utilisation frauduleuse : perte des informations, fishing, virus, etc. En cas de faille, les personnes concernées doivent être informées sur les raisons du dysfonctionnement et sur les moyens mis en œuvre pour le régler.

Du nouveau pour les spécialistes du traitement des données et pour les gestionnaires de données sensibles

Les organisations dont l’activité principale est de traiter des données à grande échelle ou les structures qui gèrent des données sensibles devront nommer un délégué de la protection des données chargé de la conformité continue de l’organisation et de la gestion des informations avec le RGPD.

Autre mesure pour les données sensibles : les structures devront réaliser une étude d’impact sur la vie privée.

Une co-responsabilité entre sous-traitants et responsables des données

Vous êtes consultant informatique porté, sous-traitant d’un client X qui vous commande un nouveau site internet, un nouveau système de gestion de base de données ? Même si vous êtes juridiquement salarié d’une société de portage salarial, cette co-responsabilité vous concerne puisque vous engagez via votre contrat de prestation la responsabilité de votre société de portage.

En cas de faille, de problème de sécurité, de non-respect du RGPD, les personnes physiques pourront se retourner contre le responsable des données (le client) mais aussi contre vous en tant que sous-traitant.

Le sous-traitent est également responsable

Le sous-traitant doit désormais respecter plusieurs obligations : sécurité, confidentialité, conseil au responsable de traitement pour sa mise en conformité avec le RGPD. Il doit également au même titre que son donneur d’ordre avoir un registre des données traitées.

Pour en savoir plus sur votre responsabilité et sur les clauses à ajouter dans votre contrat de prestations, téléchargez le guide du sous-traitant.

Ce premier tour d’horizon sera suivi, la semaine prochaine, d’un article sous forme de questions-réponses concrètes pour aider tous les prestataires en portage, les micro-entrepreneurs et les TPE à mettre en œuvre les actions en matière de protection des données. Pour cela, nous avons contacté une juriste du CNIL qui a accepté de répondre à nos nombreuses interrogations.

À suivre…

Illustrations : © Vasily Merkushev, mixmagic, treenabeena & momius - Fotolia

Ecrire un commentaire :

Prénom

E-mail (non publié)

Votre commentaire

Recevoir une notification lorsqu'une réponse est postée (lien de désabonnement présent dans l'e-mail)

Veuillez recopier le code de sécurité : e9xbtk3fbs

En soumettant ce formulaire, j'accepte que les informations saisies soient exploitées (utilisées) dans le cadre d'échanges concernant les sujets abordés sur ce blog. J'ai noté que mon adresse mail n'était pas publiée.

Pour connaître et exercer vos droits d’accès, de rectification, de portabilité et notamment de retrait de votre consentement à l'utilisation des données collectées par ce formulaire, veuillez consulter notre politique de confidentialité.