Pour se mettre en conformité avec le Règlement général pour la protection des données (RGPD), les responsables de traitements et autres directeurs des systèmes d’information sont soumis à un stress certain. Quelques astuces peuvent être utilisées pour ne pas oublier de zones d’ombres et se simplifier la tâche de mise en conformité.
Pour toute interrogation que vous pourriez avoir concernant le RGPD : contactez-nous à cette adresse et nous nous efforcerons d’y répondre à travers nos publications.
Connaissez les lieux de stockage des données personnelles
Pour être sûr de ne pas se trouver en contradiction avec le RGPD lors de son entrée en vigueur le 25 mai 2018, tout responsable de traitement doit savoir où sont stockées les données personnelles qu’il traite car des mesures spécifiques s’appliquent si les données sont traitées dans un pays tiers. L’article 44 du RGPD précise en effet que tout transfert de données personnelles en dehors des frontières de l’Union européenne ne peut être légal que sous certaines conditions exclusives l’une de l’autre.
La première possibilité repose sur une validation, par la Commission européenne, de la protection des données personnelles dans le pays tiers destinataire (article 45 du RGPD). On parle de décision d’adéquation.
La seconde possibilité joue si la Commission européenne n’a pas rendu de décision d’adéquation. Le transfert est possible à condition que des garanties appropriées soient prévues et si les personnes concernées disposent des droits d’opposition et de voies de droit effectives (article 46 du RGPD).
Gare au stockage des données en Grande-Bretagne
Un enjeu évident découle du Brexit : tous les traitements de données se trouvant sur ce territoire seront bientôt extérieurs à l’Union européenne. Tous les responsables de traitement doivent s’assurer que leurs données personnelles soient rapatriées au sein de l’Union européenne ou soient traitées en Grande-Bretagne dans des conditions conformes à l’article 46 du RGPD.
Pour l’instant la Commission européenne n’a pas délivré de décision dans le cadre de l’article 45. On peut penser qu’un accord pourra être trouvé entre l’UE et les britanniques, mais tout cela reste très hypothétique. Dans le cadre du RGPD, il est bien plus prudent de ne pas attendre que les autorités compétentes prennent des décisions : il est plus sage de prendre les devants et de s’assurer, en amont, que les traitements de données personnelles que l’on réalise sont conformes.
N’oubliez pas vos données personnelles stockées dans le cloud
Si vous utilisez un service de stockage de données en ligne, ou cloud, pour traiter des données à caractère personnel, vous ne devez pas oublier de connaître, dans la mesure du possible, les lieux physiques où sont situés les serveurs servant au stockage. Le responsable de traitement doit pouvoir dire si les données qu’il traite sont stockées au sein de l’Union européenne ou en dehors et il doit pouvoir en informer les individus dont les données sont traitées.
Des difficultés sont à prendre en compte pour certains services de cloud qui ne permettent pas de savoir exactement où sont localisés les serveurs utilisés. Il faudra donc prendre toutes les précautions pour obtenir ces informations en sollicitant directement la société prestataire du service de stockage en ligne.
Faites comme la Commission européenne pour obtenir le consentement des individus
Vous vous demandez sûrement comment récolter le consentement au traitement des données personnelles pour que cela soit conforme au RGPD.
Faut-il délivrer individuellement une fiche d’information ? Peut-on se contenter de confirmer le consentement par une case à cocher avec un lien vers une page contenant toutes les informations à donner à l’individu ? Le site de la Commission européenne, supposé être conforme au RGPD, donne un exemple de ce qu’il est possible de faire.
Une simple case à cocher avec un renvoi à une page d’informations sont proposés :
Un simple lien hypertexte et une case à cocher semblent suffire à valider le consentement des individus au traitement de leurs données personnelles.
N’oubliez pas la conformité de vos traitements de données « RH »
Le responsable du traitement ne doit pas oublier les données personnelles traitées dans le cadre des ressources humaines. Il est important d’informer les salariés du traitement dont peuvent faire l’objet leurs données en conformité avec le RGPD.
Pour cela, il est tout à fait possible de prévoir une annexe au contrat de travail, à faire signer par tous les salariés, les informant du ou des traitements potentiels sur le fondement de la relation contractuelle. En revanche, toute donnée personnelle qui n’est pas nécessaire à la signature du contrat de travail, telle que la composition du ménage, doit être traitée sur le fondement du consentement du salarié.
