Les entreprises traitent au quotidien de nombreuses données personnelles, que ce soit celles de leurs salariés, de leurs clients ou de leurs fournisseurs. Connaissez-vous vos obligations ?
Le règlement général sur la protection des données (RGPD) entré en vigueur il y a 2 ans, apporte un cadre légal général que les entreprises doivent respecter en matière de protection des données afin de respecter la vie privée et les libertés individuelles des personnes concernées.
Petit rappel sur les principales dispositions, ainsi que sur d’autres, moins connues, qui concernent pourtant directement les salariés et les clients des entreprises.
Le RGPD régule l’utilisation faite des données personnelles par les entreprises. Des lois nationales transposent cette directive européenne dans la pratique et la CNIL vérifie leur bonne application en France.
Qu’est-ce qu’une donnée personnelle ?
Une donnée personnelle est une information « se rapportant à une personne physique identifiée ou identifiable, grâce à un identifiant ou à un ou plusieurs éléments propres à son identité ». Cela peut être :
- Une information liée à l’identité de la personne : nom, date et lieu de naissance, photo d’identité
- L’adresse personnelle ou la localisation d’une personne à un moment donné
- Une information relative à l’identité en ligne : identifiants personnels, adresse IP
- Une information de santé
- Une information sur le revenu et le niveau de vie d’un individu
- Une information sur le profil socioéconomique ou culturel d’une personne
Qui est concerné par la protection des données personnelles ?
Toute entreprise, dès qu’elle collecte, stocke, utilise des données doit respecter des règles précises en matière de traitement de données à caractère personnel. Les entreprises qui collectent des données pour le compte d’une autre entreprise sont elles aussi concernées.
La notion de consentement
Le consentement de la personne concernée est requis pour le traitement des données personnelles.
Dans le cadre de la publicité, deux cas de figure du consentement sont à différencier :
- Publicité B2C : (publicité à destination des consommateurs) si le destinataire ne donne pas au préalable son accord pour recevoir un message, cela signifie qu’il s’y oppose. C’est le principe de l’opt-in. En résumé, si le destinataire ne dit pas oui, cela veut dire non.
- Publicité B2B (prospection, démarchage…) : si le destinataire ne refuse pas de recevoir de la publicité, cela signifie qu’il ne s’y oppose pas. C’est le principe de l’opt-out. En résumé, s’il ne dit pas non, cela signifie oui.
Les dispositions les plus connues du RGPD telles que le recueil du consentement pour la mise en place de cookies en ligne ou la désignation d’un référent RGPD dans les entreprises sont désormais connues et appliquées par les entreprises concernées.
Néanmoins, le respect des données personnelles des salariés induit aussi des dispositions particulières moins connues, non moins importantes, car leur non-respect expose également à des sanctions de la CNIL. Voici un petit tour d’horizon !
Le cas des documents papier
La question des données personnelles ne concerne pas uniquement le secteur numérique. L’entreprise est soumise aux mêmes règles concernant la collecte de documents papier. Par exemple, les CV ou lettres de motivations imprimés dans le cadre d’entretiens d’embauches ne doivent pas être laissés visibles à la vue de tous (en restant sur un bureau par exemple).
S’il ne faut pas laisser traîner de documents sensibles, les entreprises doivent aussi mettre en place des mesures de sécurité pour la préservation (dans des armoires fermées à clé) ou la destruction (via un destructeur de documents par exemple) des documents papier comportant des données personnelles.
Le cas du contrôle d’accès sur les lieux de travail par biométrie
Le RGPD implique également des conséquences moins connues pour l’accès aux locaux des salariés via des systèmes de biométrie. La biométrie est l’ensemble des techniques qui permettent d’identifier un individu grâce à ses caractéristiques physiques, biologiques ou comportementales.
Ainsi le contrôle de l’accès à un site de travail via une prise d’empreinte digitale ou une reconnaissance faciale est un traitement de données sensibles qui est régulé et les données recueillies ne peuvent être sauvegardées à long terme par l’entreprise. En effet, le mauvais usage ou le détournement de telles données peut avoir des conséquences graves pour les droits et la liberté.
Les caméras de surveillance
Parce qu’elles sont particulièrement intrusives dans la vie privée des salariés, la protection des données induit également des précautions à prendre concernant les caméras de surveillance dans les locaux de l’entreprise. Un employeur ne peut installer des caméras de surveillance dans ses locaux que s’il justifie cette démarche par un objectif légal et légitime : généralement la sécurité des biens et des personnes, ou un effet dissuasif contre les cambriolages.
Elles ne peuvent être installées que dans les entrées, sorties, voies de circulation (tels que les couloirs) ou les zones d’entreposage. Afin de respecter la vie privée des salariés, il est strictement interdit de filmer les zones de pauses et de repos ainsi que les toilettes. Les postes de travail ne doivent pas non plus être filmés, sauf cas spécifiques : employé manipulant de l’argent ou entrepôt dans lesquels sont stockés des objets de valeurs.
Par ailleurs, les salariés doivent être informés de la présence des dites caméras de surveillance par leur employeur et l’accès aux images doit être sécurisé et limité à certaines personnes habilitées.
La CNIL a mis en ligne une fiche pratique pour vous aider dans votre relation client et dans votre prospection, que ce soit les consommateurs ou d’autres entreprises, dans le respect des règles en vigueur.
Tout prospect doit avoir la possibilité de refuser de recevoir plus de sollicitations de votre part, via un lien de désabonnement par exemple dans le cas de l’envoi d’une newsletter.
Si vous recueillez des données personnelles sur vos clients, vous devez les informer de l’utilisation faite de ces données.
Par exemple, si vous proposez une carte de fidélité dans votre boutique, pour laquelle vous avez besoin de récolter des informations personnelles sur vos clients, telles que l’adresse email ou le numéro de téléphone, vous devez prévoir une notice d’information qui détaille l’usage que vous ferez de leurs données.
Que ce soit dans une relation avec un partenaire ou une autre entreprise, vous devez insérer une rubrique « protection des données » dans vos conditions générales de ventes. Enfin, n’oubliez pas que si vous partagez des informations personnelles avec des fournisseurs ou des partenaires commerciaux, vous devez en informer vos clients et obtenir leur accord à ce sujet.
Le droit à l’oubli
Le RGPD a introduit dans le droit la notion de « droit à l’oubli » des personnes sur lesquelles vous recueillez des informations personnelles. Il s’agit donc du droit à l’oubli des informations le concernant. Dans le cadre de la relation client, la loi impose la suppression des données en cas d’inactivité prolongée des clients, c’est-à-dire 3 ans après la fin de la relation commerciale.
Concernant les données que vous devrez conserver en raison d’obligations légales (comptabilité, factures…), celles-ci peuvent bien évidemment être conservées que ce soit en version papier ou numérique, mais l’archivage doit être effectué dans une base de données à l’accès protégé et restreint.