Vous n’arrêtez pas d’en entendre parler mais ce sigle ne vous parle pas encore. Pas de panique ! Le RGPD est le règlement européen de protection des données personnelles. Il entre en vigueur le 25 Mai prochain et il a pour but de protéger nos droits et libertés fondamentales au niveau de la collecte et du traitement de nos données à caractère personnel.
La finalité d’un tel règlement est :
– de protéger les citoyens européens contre les utilisations malveillantes de leurs données à caractère personnel.
– d’harmoniser le panorama juridique européen en matière de protection des données personnelles afin qu’il n’y ait qu’un seul et même cadre qui s’applique pour tous les États membres
Le RGPD s’applique à tous les traitements de données à caractère personnel de citoyen européen. Toute entreprise, association, sous-traitant, manipulant des données personnelles concernant des citoyens européens doit s’y conformer. Un groupe mondial qui collecte et traite des données personnelles européennes doit aussi s’y conformer.
Une donnée à caractère personnel est une information qui permet d’identifier une personne physique, directement ou indirectement (nom, photographie, empreinte, adresse IP, numéro de téléphone, identifiant de connexion informatique, adresse postale, enregistrement vocal, numéro de sécurité sociale, mail…). Certaines données sont sensibles car elles peuvent donner lieu à de la discrimination ou des préjugés (opinion politique, appartenance ethnique, orientation sexuelle, santé…). Leur collecte est encadrée : elle nécessite un consentement écrit, clair et explicite pour des cas précis validés par la CNIL.
Les principes du RGPD sont les suivants :
– définition des finalités (explicites et légitimes) du traitement avant la collecte et respect de ces finalités tout au long de la collecte
– mise à jour régulière des données pour garantir leur exactitude
– minimisation des données : elles doivent être adéquates, pertinentes et limitées.
– limitation de la durée de conservation des données au temps du traitement
– traitement des données de manière licite, loyale et transparente : le consentement n’est toutefois pas nécessaire quand le responsable du traitement répond à une obligation légale à laquelle il est soumis, ou qu’il s’agit d’une mission de service public
– garantir la sécurité des données conservées (protection vis-à-vis des traitements illicites ou non autorisés, des modifications, des divulgations ou destructions)
– mise en application du droit des personnes (opposition, accès, rectification, limitation, portabilité)
– mise en place de clauses contractuelles avec les partenaires ou sous-traitants pour s’assurer qu’ils soient eux aussi vigilants.
L’entreprise doit désormais être en mesure de prouver qu’elle respecte ces obligations. Pour cela, les organismes du secteur public doivent nommer un DPO (Data Protection Officer) qui contrôlera le respect du RGPD, qui analysera les risques, identifiera les données pouvant avoir un impact sur les droits et libertés fondamentaux, qui sensibilisera le personnel…
Il assurera l’interface entre l’entreprise (responsable du traitement) et la CNIL .
NB : PATRIMOINE a prévu d’externaliser cette prestation.
Toute entreprise qui cible le territoire européen et effectue des traitements de données à caractère personnel est concernée par ce règlement. Les obligations peuvent toutefois être allégées (sous certaines conditions) pour les structures de moins de 250 salariés.
Après le 25 mai 2018, tout traitement en infraction avec le RGPD pourra déboucher sur des sanctions (via la CNIL) pour l’entité fautive (amendes pouvant aller jusqu’à 20 Millions d’Euros ou 4% du CA annuel mondial de l’exercice précédent en fonction de la nature et de la gravité des faits).
Les organismes HLM, bien que déjà sensibilisés sur le sujet depuis le « Pack Conformité Logement Social – CNIL », doivent poursuivre leurs efforts pour se conformer au RGPD. Ils engagent leur responsabilité vis-à-vis des locataires qui confient certaines de leurs données personnelles en toute confiance.