Aller au contenu

Comprendre le RGPD en entreprise et comment l’appliquer ?

·
6 minutes de lecture
rgpd
Catégories Technologie RH

En 2016, l’Union Européenne votait une loi en faveur de la protection des données personnelles. Elle a révolutionné Internet, et mis en porte-à-faux de nombreuses entreprises. Depuis sa mise en application le 25 mai 2018, le traitement des données sensibles est régi par des règles strictes, auxquelles toutes les sociétés et organisations doivent se plier, sans exception.

Si les grands groupes ont pu s’y préparer, ce n’est souvent pas le cas des TPE et PME. Elles n’ont pas toujours les ressources suffisantes pour assurer leur conformité au RGPD.

Cet article a pour but d’expliquer en détail les obligations des entreprises françaises liées à la loi informatique et libertés, et les solutions existantes pour se mettre en conformité avec le RGPD français et les directives de l’Union Européenne.

Table des matières

Le RGPD, c’est quoi ?

Tout le monde en parle, mais qui sait vraiment qu’est-ce que le RGPD ?

Avant de poursuivre, il est bon de clarifier ce point. RGPD est l’acronyme pour Règlement Général de la Protection des Données. Celui-ci garantit, entre autres :

  • Un accès direct à tout individu à ses données personnelles collectées par un tiers (entreprise, organisation, administration, site internet…)
  • Le droit d’en disposer comme bon lui semble (en particulier la possibilité de les effacer d’un registre).
  • La protection des données sensibles contre leur diffusion non autorisée.

GDPR, GRPD ou RGPD ?

On entend parfois parler de GDPR plutôt que de RGPD, surtout dans les médias étrangers.

Il s’agit bel et bien de la même chose : GDPR étant l’acronyme de General Data Protection Regulation, soit la traduction en anglais du RGPD français.

Quant au GRPD, que l’on retrouve parfois dans les discussions, il s’agit d’une erreur typographique. Ou alors la conversation porte sur les services de police de Gran Rapids (Gran Rapids Police Departement) plutôt que la protection des données sensibles !

Droit à l’oubli et protection des données personnelles

Le RGPD a pour but de protéger les individus en leur donnant à nouveau un contrôle total sur leurs données. Ceci implique deux aspects :

  • La protection des données : il est désormais interdit de partager des informations personnelles avec un tiers sans autorisation préalable.
    Exemple : Un cabinet de recrutement ne peut envoyer le CV d’un candidat potentiel à une entreprise sans en avoir reçu la permission écrite de la part du candidat.
  • Le droit à l’oubli : chacun peut désormais demander à être effacé d’une liste ou d’un registre, et voir ses données effacées définitivement.
    Exemple : Un réseau social doit aujourd’hui effacer toutes les données personnelles d’un compte si le titulaire en fait la demande.

Bon à savoir : Le RGPD prévoit explicitement le respect des lois du pays. Ainsi, un employé ne peut s’opposer à la diffusion de ses données personnelles (fiche de paie…) à l’administration française. De même, un site Internet peut refuser l’accès à ses services si l’utilisateur ne souhaite partager certaines informations essentielles.

Qui s’occupe du RGPD français ? 

En France, l’autorité en charge du respect du RGPD et de la loi informatique et liberté est la Commission Nationale de l’Informatique et des Libertés, plus connue sous l’acronyme de CNIL.

Quelles autorités assurent la protection des données personnelles ?

La CNIL est un organisme public agissant pour l’État de manière indépendante du gouvernement : elle n’est pas sous l’autorité d’un ministre.

En tant qu’Autorité Administrative Indépendante (AAI) elle est en charge du contrôle du respect du RGPD et est autorisée à imposer des sanctions en cas de fraude constatée.

Il faut toutefois bien comprendre que ce sont les organisations, entreprises et autres sites Internet qui sont entièrement responsables de la protection des données personnelles.

La CNIL est l’autorité charger de contrôler et sanctionner les manquements, mais ce sont bien les entreprises qui doivent se mettre en conformité avec le RGPD.

Comment se mettre en conformité avec la loi informatique et liberté ?

Cette obligation de se mettre en conformité avec le RGPD se fait en 5 étapes :

  1. Recensement des traitements de données dans un registre
  2. Vérification de la pertinence, de la sécurité et de la diffusion restreinte des données
  3. Information et droit d’accès des individus
  4. Sécurisation des données personnelles contre le vol
  5. Signalement immédiat à la CNIL de toute « violation de données » : destruction, perte, diffusion, ou altération d’information à caractère sensible

Toutes ces étapes sont explicitées en détail dans ce document disponible sur le site de la Commission Nationale de l’Informatique et des Libertés.

Comment appliquer le RGPD en entreprise ?

À présent que les tenants et aboutissants du RGPD français sont clairs, il est temps de voir concrètement comment il est possible de l’appliquer dans le cadre d’une organisation de type TPE, PME ou association.

Quelles sont les obligations de l’employeur en matière de protection des données personnelles ?

Une fois que le registre de traitement des données a été mis en place, il est nécessaire de s’atteler aux étapes suivantes.

Le tri des données

Ceci implique de vérifier :

  • La pertinence des données (demander un numéro de contact en cas d’urgence à un employé est utile, désirer connaître ses comptes de réseaux sociaux est abusif)
  • L’accès limité aux informations (le service RH a besoin de connaître le compte bancaire pour effectuer les virements, mais pas les autres collègues)
  • La durée de conservation, qui ne doit pas excéder ce qui est strictement nécessaire.

Les droits des utilisateurs

Chaque individu conserve un droit total sur ses données personnelles, et notamment :

  • Le droit d’accès, qui lui permet de consulter
  • Le droit de suppression, qui permet d’effacer tout ou partie des données
  • Le droit de rectification, qui permet de modifier les informations
  • Le droit de portabilité, qui autorise à récupérer toutes les données personnelles dans un fichier au format ouvert
  • Le droit de limitation, qui permet de bloquer tout ou partie de l’utilisation des données.

La protection des informations

Il s’agit souvent du plus grand risque pour l’entreprise. Elle se doit de sécuriser les données contre tout risque de vol, que ce soit de manière physique ou informatique.

Ceci implique la multiplication des mesures de sécurité :

  • Limitation des accès, que ce soit par mot de passe (données informatiques) ou clés (données physiques)
  • Protection contre les agressions extérieures : logiciels antivirus pour les fichiers numérisés, alarmes et caméras pour les documents papiers
  • Sauvegardes régulières.

La formation des utilisateurs

Un autre point important à l’heure d’appliquer le RGPD en entreprise est de former les utilisateurs. Contrairement à ce que l’on pourrait penser, l’immense majorité des manquements n’est pas d’origine illicite, mais accidentelle.

Formation des employés, établissement d’une charte informatique et sensibilisation à la protection des données personnelles permettent de diminuer drastiquement les risques de violation de données.

Quelles solutions pour la conformité RGPD des entreprises françaises ?

L’application du RGPD et l’obligation de mise en conformité ont tourné au cauchemar pour nombre de PME. Elles ont dû, du jour au lendemain, revoir intégralement leur système de gestion de la clientèle, des fournisseurs…

Mais c’est surtout le service des ressources humaines qui s’est retrouvé le plus affecté. Comment gérer à la fois RGPD et dossier du personnel ? Comment traiter toutes les données des employés tout en respectant les obligations de la loi informatique et libertés ? Quelles sont les informations que l’on doit conserver ?

Aujourd’hui, les logiciels de gestion RH les plus performants prennent en compte les contraintes imposées par le RGPD et assurent un traitement confidentiel des informations, une protection des données de haut niveau, et un accès conforme aux directives européennes.

Il s’agit sans aucun doute de la solution la plus simple et la plus efficace pour les TPE et PME d’assurer leur conformité au RGPD en relation avec le traitement des données personnelles des salariés.

Quels outils pour l’application du RGPD en entreprise ?

Il existe plusieurs solutions disponibles sur le marché, mais toutes ne se valent pas. Factorial est un logiciel de gestion des ressources humaines à la fois complet, intuitif, et abordable.

Avec plus de 60 000 clients dans le monde entier, dont de grands noms comme KFC, Arcelor Mittal, Axa ou e-Dreams, notre outil RH a fait ses preuves.

Si votre entreprise ne sait pas comment se mettre en conformité avec la règlementation européenne sur la protection des données et craint des sanctions de la CNIL, un dossier du personnel dématérialisé est probablement la réponse à vos problèmes.

La dématérialisation peut vous aider à faciliter vos processus. Vous pouvez améliorer la gestion des vos documents tout en respectant ce que dit la loi. Les données que vous stockez sont ainsi sécurisées, conformes aux délais d’archivage et de conservation. Et en plus vous optimisez vos processus RH et facilitez le travail de vos collaborateurs tout en respectant la confidentialité.

Beatrice Roulleau
Béatrice est senior content manager chez Factorial. Sa principale mission : vous inviter à venir, vous donner envie de rester et vous inciter à revenir. Elle a commencé son aventure dans les ressources humaines il y a environ 6 ans et ça continue ! Comme une voiture tout-terrain, elle raffole du hors-piste et n'hésite pas à se frotter à d'autres univers (elle était à une époque une commerciale acharnée qui négociait la vente de formations professionnelles).

Articles Similaires