Le règlement général sur la protection des données à caractère personnel a deux objectifs : renforcer le droit des personnes concernées par le traitement des données et responsabiliser les entreprises. Ce principe d’accountability vise pour les entreprises, à mettre tous les moyens en œuvre pour un traitement de données à caractère personnel respectueux du RGPD.
Plan de l'article
Les obligations de l’entreprise relatives à la protection des données
- Respecter la protection des données à caractère personnel et la vie privée des personnes physiques ;
- Avoir une vision globale des traitements de données et tenir un registre ;
- Prouver que le traitement des données personnelles respecte le règlement européen sur la protection des données personnelles ;
- Notifier les violations des données à caractère personnel traitées ;
- Faire une analyse d’impact pour le traitement de données à caractère personnel ou les données sensibles à risque ;
- Désigner un DPO (Data protection officer) ou délégué à la protection des données.
Les missions du DPO pour protéger les données collectées
Le DPO est le garant de la protection des droits et libertés des personnes concernées. Ses missions sont multiples :
A lire aussi : Campagne AdWords: le top 25 des mots-clés les plus chers
- Informer et conseiller les responsables de traitement et le sous-traitant :
- Contrôler le respect des droits des personnes ;
- Conseiller l’entreprise sur la réalisation d’une analyse d’impact ;
- Coopérer avec l’autorité de contrôle (Commission Nationale Informatique et libertés).
Le respect des droits des personnes physiques
Dans le cadre de la protection des données personnelles, l’entreprise doit s’assurer que les personnes soient informées de la durée de conservation des données collectées. Aussi, il faut mentionner l’existence de profilage, des divers droits de tous et des voies de recours possibles. Ces données doivent être mises en avant de façon claire et concise. Dans tous les cas, les droits fondamentaux sont : le droit au transfert de données, la rectification, le droit d’accès, la portabilité des données, l’effacement…
Ce qu’une entreprise risque en cas de non conformité : RGPD Obligation Entreprise
En cas de violation de leurs données personnelles et de leurs finalités ou encore en cas de non respect de la loi relative à la protection des données, une double notification s’imposera à l’employeur :
Lire également : Comment transformer votre expérience professionnelle en compétences transférables
- Pour la CNIL dans un délai de 72h
- Pour le salarié, dans les meilleurs délais.
Aussi, le non-respect de ces obligations peut conduire à une amende administrative s’évaluant à 2% du CA annuel mondial. Vous pouvez découvrir les obligations RGPD ici!
Les obligations à suivre du côté du DRH
Au niveau du DRH, vous devez tout d’abord garantir la minimisation des données, c’est-à-dire n’utiliser que les données adaptées et pertinentes. Plus clairement, il faut être en mesure de justifier la pertinence des données traitées.
Prenons l’exemple du processus de recrutement. Le fait de demander le numéro de sécurité sociale d’un candidat n’est pas pertinent si l’on se réfère à la finalité du traitement. Il est donc fortement conseillé de faire une mise à jour du système d’information de gestion des ressources humaines, afin qu’il remplisse des obligations du RGPD. Si vous êtes une petite entreprise, vous pouvez toujours déléguer le tout à un responsable du traitement ou des prestataires externes.
Mais comment évaluer ses obligations ?
L’article 35 du RGPD met en avant l’obligation de faire une analyse d’impact relative à la protection des données, venant remplacer les formalités d’autorisations et de déclarations effectuées auprès de la CNIL. L’analyse d’impact ne se fait que si le traitement peut provoquer un risque accru pour les droits et libertés des salariés. La CNIL met en exergue une série de critères afin de mieux évaluer ce risque. De plus, l’autorité met à disposition un logiciel d’analyse d’impact pour simplifier les démarches.