RGPD : dernière ligne droite

Mai 2018

 

A l’approche de l’entrée en vigueur du RGPD, Françoise Raphel, directrice juridique France chez ADP, fait le point sur les nouveautés qu’apporte ce règlement européen en matière de protection des données. Elle revient également sur les obligations des entreprises et des sous-traitants, ainsi que sur les risques encourus en cas de non-respect des termes du RGPD.

 
Protection des données : harmonisation et simplification au sein de l’UE
 
A partir du 25 mai 2018, les sociétés doivent être conformes au Règlement général sur la protection des données (RGPD) qui dote les individus résidant au sein de l’Union européenne (UE) d’un cadre légal leur permettant de contrôler davantage la manière dont leurs données personnelles sont utilisées. Cela signifie que les entreprises ont l’obligation de prendre des mesures sur la façon dont elles collectent, stockent et sécurisent toute information qui identifie ou pourrait identifier directement ou indirectement une personne : prénom, nom de famille, date de naissance, informations sur la situation géographique, économique ou de santé ou encore l’adresse IP d’un individu.
 
Etant donné qu’il s’agit bien d’un règlement et non d’une directive, il remplace de facto les différentes législations actuellement en vigueur au sein des vingt-huit pays membres de l’UE. Le RGPD offre ainsi un environnement juridique simplifié puisqu’il harmonise les pratiques. Un vrai plus pour les groupes qui opèrent au sein de plusieurs pays de l’UE. Cependant, par rapport aux règles en matière de contrôle des données des citoyens établies au milieu des années 1990, le RGPD introduit des exigences de conformité plus strictes auxquelles la fonction RH n’échappe pas.
 
 
RGPD : entre règles existantes renforcées et nouveautés
 
En effet, dès l’entrée en vigueur du RGPD, le responsable RH en qualité de responsable de traitement des données doit :
  • tenir un registre des traitements RH (produits et flux associés) afin de renseigner, entre autres, la finalité du traitement adopté, les catégories de personnes concernées, les catégories de données ou encore les catégories de destinataires.
 
  • De plus, la protection des données doit être pensée dès la conception des produits et processus de traitement. Les entreprises doivent opter pour des paramétrages par défaut permettant de garantir la conformité des modalités de mise en œuvre.
 
  • En cas de violation des données, les entreprises ont obligation d’alerter les autorités de protection des données, telle que la CNIL en France, et ce, dans les 72 heures suivant le signalement.
 
  • Le RGPD impose davantage de transparence. Aussi, il convient d’informer les salariés et les candidats sur le respect de la vie privée. Par le biais de mentions, il est nécessaire de leur indiquer quelles données seront utilisées, pourquoi, la durée durant laquelle elles vont être conservées et le cas échéant, si ces informations seront transférées en dehors de l’UE.
 
  • Si le droit d’accès et de rectification aux données ainsi que le droit à l’oubli ne sont pas des nouveautés, l’encadrement des réponses aux demandes des salariés en la matière en est une. En effet, avec le RGPD, les entreprises ont dorénavant un délai maximal d’un mois pour agir.
 
  •  A cela s’ajoute l’obligation désormais de lister tous les sous-traitants de l’entreprise qui manipulent des données à caractère personnel et il convient de s’assurer qu’ils respectent bien le RGPD.
 
  • Enfin, il est nécessaire de désigner un délégué à la protection des données (DPO).
 
 
Respecter le RGPD, une condition sine qua non
 
Il est à noter que le RGPD repose sur un principe de responsabilité, c’est-à-dire qu’aux yeux des autorités de protection des données, il est entendu que le responsable de traitement respecte les termes du règlement a priori. En cas de contrôle, ce dernier doit donc démontrer la conformité, notamment en documentant les processus mis en place. Et les entreprises ont tout intérêt à montrer patte blanche, car à l’issue d’un contrôle sur site réalisé par la CNIL et d’une procédure contradictoire, l’autorité de protection des données peut :
  • ordonner la cessation d’un traitement ;
 
  • prononcer un avertissement à l’encontre de l’entreprise ;
 
  • décider une sanction financière pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires mondial (selon la plus élevée des deux sommes). Différents critères entrent en ligne de compte pour établir le montant de l’amende potentielle, comme la nature, la gravité et la durée de la violation.
 
Les menaces qui pèsent sur l’entreprise sont réelles et doivent être prises au sérieux.
 
 
Quelles obligations pour les sous-traitants dans le cadre du RGPD ?
 
A compter du 25 mai 2018, les sous-traitants tels qu’ADP, manipulant des données à caractère personnel, ne sont pas en reste. Effectivement, eux aussi se révèlent soumis à de nouvelles obligations. Leur première mission consiste à tout mettre en œuvre pour assurer à leurs clients qu’ils seront bien conformes au RGPD. La mise en place de mesures techniques et organisationnelles demeure donc indispensable afin de coopérer correctement et dans les temps aussi bien dans le cas d’une demande de droit d’accès aux données ou lors d’un contrôle des autorités de protection des données.
 
Par exemple, le service R&D d’ADP a d’ores et déjà mis en place ce type de mesures permettant de supprimer dans le délai imparti les données de salariés qui feraient une demande de droit à l’oubli. Il est également possible de documenter et de démontrer techniquement que ces données ont été supprimées. Quant aux demandes de droit d’accès et de rectification des données, elles s’effectueront directement via le CRM d’ADP, qui fournira également un certificat de suppression de données, et ce, pour chaque demande.
 
D’autres tâches incombent aux sous-traitants, comme l’obligation de tenir un registre des catégories d’activités de traitement réalisées pour le compte de leurs clients, de mettre en place des mesures de sécurité ou encore d’obtenir l’autorisation préalable de leurs clients s’ils désirent eux-mêmes faire appel à des sous-traitants.
 
Il est également nécessaire de s’assurer que les personnes traitant les données se sont engagées à en respecter la confidentialité. Former et sensibiliser les salariés reste donc une priorité, d’autant plus qu’il faudra faire preuve d’une réactivité sans faille pour informer le responsable de traitement sans tarder en cas de violation de données.
 
 
RGPD : ADP dans les starting-blocks
 
Comme évoqué ci-dessus, ADP a mis en place différentes mesures pour protéger les données de ses clients. En plus du chiffrement, de la gestion du contrôle et de l’authentification ou encore de l’appel à des fournisseurs externes pour auditer ses processus et produire des rapports SOC, ADP a déposé des règles d’entreprise contraignantes (BCR) auprès des autorités de protection de données européennes. Elles portent sur l’activité du groupe en tant qu’employeur comme en tant que sous-traitant, ainsi que sur les activités commerciales.
 
Ces BCR, qui ont pour objectif la protection des données lorsqu’elles sont transférées en dehors de l’UE vers d’autres entités du groupe ADP, ont été validées et approuvées par l’ensemble des vingt-huit autorités de protection des données européennes. A cela s’ajoute la mise en place de cent actions spécifiques pour satisfaire les exigences du RGPD. Parmi elles, une gouvernance en matière de protection des données, avec à sa tête un Global Chief Officer, mais aussi la désignation d’un DPO quand le RGPD sera applicable.
 
Le groupe ADP est fin prêt pour le RGPD. Et vous ?