RGPD, un nouveau téléservice mis en place par la CNIL

Actualité
Direction RGPD

RGPD, un nouveau téléservice mis en place par la CNIL
Publié le
Télécharger en PDF

Cet article a été publié il y a 6 ans, il est donc possible qu'il ne soit plus à jour.

Le RGPD

A compter du 25 mai 2018, toutes les entreprises qu’elles soient basées au sein de l’Union Européenne ou non devront obligatoirement être en conformité avec les règles édictées par le règlement européen du 27 avril 2016 relatif à la protection des données personnelles, dès lors qu’elles collectent des données concernant des citoyens européens.

La gestion des ressources humaines va être directement impactée au sein des entreprises dans la mesure où elle génère une collecte, un traitement et un stockage de nombreuses données personnelles sur les salariés à l’occasion des recrutements, embauches, payes, entretiens, etc...

Le RGPD introduit un changement majeur dans le domaine de l’informatique et des libertés : le passage d’un système de déclarations obligatoires auprès de la CNIL à un système d’autorégulation dans lequel les entreprises devront être en mesure de prouver à tout moment qu’elles respectent les règles.

Il s’impose dans toutes les entreprises de tout les pays européens et a valeur législative. Contrairement aux directives européennes, il n’est pas nécessaire qu’il soit transposé en droit interne ; il est d’application directe. Il entre en application le 25 mai 2018.

Le DPO

Dans les entreprises de plus de 250 salariés, un DPO (Data Privacy Officer ou Data Protection Officer) doit être désigné. Il s’agit d’un délégué à la protection des données personnelles.

Il est chargé notamment :

  • D’assurer une gestion cohérente et conforme du traitement des données personnelles ;
  • De veiller à la compréhension et à la réussite de la mise en conformité ;
  • Connaître le contenu du règlement européen ;
  • Maîtriser l’informatique et la cybersécurité ;
  • Informer et conseiller le dirigeant ;
  • Apporter son expertise technique et juridique sur les mesures de sécurité à mettre en place ;
  • Contrôler la bonne application de la gestion des données personnelles ;
  • Etre le contact entre l’entreprise et la CNIL ;
  • Etre le contact entre l’entreprise et les personnes concernées par le traitement des données : salariés, clients, patients, etc… ;
  • Etre consulté pour toute décision relative à des données personnelles ;
  • Etre alerté et consulté en cas de fuite de données personnelles ;
  • Réaliser les analyses d’impact, déterminer les actions correctives et en suivre la bonne exécution.

Dans les entreprises de 250 salariés et moins, le DPO n’est pas obligatoire mais vivement conseillé.

Un DPO doit également être obligatoirement désigné dès lors que l’entreprise effectue :

  • des traitements à grande échelle de suivi régulier et systématique des personnes ;
  • des traitements de données sensibles ou relatives à des condamnations pénales et infractions.

Un téléservice a été mis en ligne par la CNIL afin de désigner en ligne le DPO : https://www.cnil.fr/designation-dpo

Référence

RÈGLEMENT (UE) n° 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).