La collecte, l’utilisation et la détention de données personnelles sont protégées par le Règlement général sur la protection des données (RGPD). Comme pour toute activité professionnelle, l’architecte chef d’entreprise doit connaître ses responsabilités et adopter les bonnes pratiques.
MAF Assurances

Utilisez-vous des données personnelles de tierces personnes ? Réponse : inévitablement. En particulier si vous êtes employeurs. Vos fichiers répertoriant les informations sur vos collaborateurs, tout comme ceux traitant des noms et coordonnées de vos clients, voire de leurs moyens financiers pour réaliser leur projet immobilier, constituent un traitement;de données personnelles. Comme pour toute organisation publique ou privée, vous êtes donc exposés au risque de détournement ou de vol des données que vous détenez et à leur utilisation non consentie : en somme, pour vous en prémunir, vous êtes tenus de respecter le Règlement général sur la protection des données(RGPD). Entrée en vigueur en mai 2018, cette réforme poursuit trois objectifs : renforcer les droits des personnes responsabiliser les acteurs traitant des données(responsables de traitement et sous-traitants) ; et consolider la coopération entre les autorités de protection des données. « Ce règlement vise à redonner de la confiance à tout le monde, en toute transparence, pour qu’il n’y ait plus de crainte lorsque l’on communique ses données personnelles », précise Guillaume Bardon, avocat MAF. Le RGPD vous rappelle vos responsabilités de chef d’entreprise et vos obligations en la matière. La collecte, l’utilisation et la conservation de données, qu’elles soient sur support numériques ou non, représentent un risque au regard des droits et libertés des personnes concernées.

 

Adoptez un niveau de sécurité adapté au risque

Aussi, assurez-vous dans le cadre de votre activité de ne collecter et ne traiter que les seules données strictement nécessaires à la poursuite de vos objectifs professionnels : gestion du personnel et des recrutements et gestion des données clients… voire de contrôle d’accès de vos locaux par exemple. Veillez à ce que les raisons pour lesquelles vous exploitez ces données soient juridiquement fondées : un contrat, un intérêt légitime, une obligation légale notamment. Révisez les mentions d’information qui figurent sur vos outils de communication, numériques ou non, afin qu’elles soient conformes aux exigences du règlement européen (articles 12, 13 et 14 du RGPD). Et prévoyez d’indiquer les modalités d'exercice des droits des personnes concernées (droit d'accès, de rectification, droit à la portabilité, retrait du consentement...). « Vous devez dire pourquoi vous collectez des données personnelles, ce que vous allez en faire, combien de temps vous allez les garder et quels sont les droits des personnes en la matière », résume Guillaume Bardon. N’oubliez pas, si vous confiez le traitement de ces données à un sous-traitant (un comptable qui établit des feuilles de paie, par exemple), de vérifier que ce dernier connaît bien ses responsabilités. Votre contrat avec ce dernier doit rappeler les obligations en matière de sécurité, de confidentialité et de protection des données personnelles traitées. Enfin, et c’est peut-être par là qu’il faut commencer, répertoriez les mesures de sécurité mises en place au sein de votre entreprise. La règlementation instaure une obligation à la charge du responsable du traitement des données. Ce dernier doit garantir un niveau de sécurité adapté au risque par la mise en place de mesures techniques et organisationnelles. La sécurité concerne les systèmes d’information, l’anonymisation des données ou encore les usages au sein des organismes. « Une analyse de vos process est sans doute opportune, remarque l’avocat MAF, faites auditer en détail l’infrastructure ainsi que la configuration de votre réseau et de vos ordinateurs ! »

 

Réputation et sanctions : la triple peine…

 

En cas de contrôle, vous aurez à démontrer que vous respectez la règlementation. Et si vous pensez n’être jamais contrôlé, sachez qu’en cas de cyber attaque répétée, ou lorsque l’un de vos clients cherchera à vous mettre en difficulté, la Commission nationale de l’informatique et des libertés (CNIL) pourra s’intéresser à vous. En cas de méconnaissance du respect du règlement, celle-ci prévoit des sanctions plus lourdes que celles qui étaient initialement prévues par la loi Informatique et Liberté de 1978. En plus de l’atteinte à la réputation de l’entreprise, le responsable du traitement des données - vous par exemple - peut avoir à verser une somme d’argent considérable. « Le RGPD prévoit, indépendamment d’éventuelles sanctions pénales, des amendes administratives pouvant aller jusqu’à 2% voire 4% du chiffre d’affaires annuel de l’entreprise », rappelle Guillaume Bardon. Ce dernier poursuit : « Le montant est fixé par rapport à des éléments déterminants comme le comportement du responsable du traitement en prenant en compte son niveau de coopération avec la CNIL, les mesures prises pour atténuer le dommage subi par les victimes, le caractère délibéré ou non de la violation... Ensuite, la violation elle-même est évaluée, cela prend en compte sa nature, sa gravité, sa durée, etc. »

 

Pour en savoir plus :

 

Les bonnes questions à se poser

Pour chaque traitement de données personnelles, posez-vous les questions suivantes :

  • Qui ? Inscrivez dans un registre le nom et les coordonnées du responsable du traitement des données ; Missionnez un responsable au sein de votre entreprise ; Établissez la liste des sous-traitants éventuels.
  • Quoi ? Identifiez les catégories de données traitées et les données susceptibles de soulever des risques en raison de leur sensibilité particulière (par exemple, les données relatives à la santé ou les infractions).
  • Pourquoi ? Indiquez les finalités pour lesquelles vous collectez ou traitez ces données.
  • Où ? Déterminez le lieu où les données sont hébergées ; Indiquez vers quels pays les données sont éventuellement transférées.
  • Quand ? Indiquez, pour chaque catégorie de données, combien de temps vous les conserverez.
  • Comment ? Quelles mesures de sécurité sont mises en œuvre pour minimiser les risques d’accès non autorisés aux données et donc d’impact sur la vie privée des personnes concernées ?

 

7 principes à respecter

  1. Les données doivent être collectées à des fins déterminées, explicites et légitimes. Elles ne peuvent être collectées au hasard ;
  2. Les données doivent être « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées » ;
  3. La durée de conservation des données est établie en fonction de la finalité du traitement ;
  4. Le responsable du traitement des données doit notamment fournir : les finalités du traitement et sa base juridique ; les destinataires des données ; la durée de conservation des données ou les critères utilisés pour déterminer cette durée ;
  5. Le responsable du traitement et le sous-traitant sont responsabilisés par le RGPD ;
  6. Le droit à l’oubli permet à la personne concernée d’obtenir l’effacement d’information la concernant ;
  7. Le droit à la portabilité des données permet à une personne de récupérer les données qu’elle a fournies et de les transférer ensuite à un tiers.
 

1. Les traitements des données sont toutes les opérations appliquées à des données personnelles telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.

2. Les données personnelles sont les informations se rapportant à une personne physique identifiée ou identifiable notamment par référence à un identifiant tel qu’un nom ou un numéro, des données de localisation, un identifiant en ligne ou à un élément spécifique propres à son identité…

3. Le texte adopté est un règlement européen, ce qui signifie, contrairement à une directive, qu’il est applicable dans l’ensemble de l’Union sans nécessiter de transposition dans les différents États membres.

4. Lorsqu’il constate une violation de données à caractère personnel, le responsable de traitement des données doit notifier la violation à la CNIL dans les 72 heures. L’information des personnes concernées est requise si cette violation est susceptible d'engendrer un risque élevé pour les droits et libertés d'une personne.

 

 

Sur le même sujet