Envoyez-nous de l’info et faites en profiter le réseau ECOBIZ.
Interview d'Isabelle Lassauge, Correspondante Informatique et Libertés mutualisée pour plusieurs CCI d'Auvergne et de Rhône-Alpes, à propos des obligations des entreprises en matière de protection de données, avec notamment un point sur le nouveau règlement européen qui obligent les entreprise à désigner un délégué à la protection des données.
Isabelle Lassauge
Oui car toutes les entreprises gèrent des données à caractère personnel. A commencer par les services RH qui détiennent de nombreuses informations sur les collaborateurs, les services commerciaux avec les fichiers "clients", l'informatique avec les logs de connexion aux applications...
Ce sont toutes les données qui permettent d’identifier, directement ou indirectement, une personne physique : nom, prénom, numéro de téléphone, photo, données biométriques, adresse IP, numéro de compte bancaire, etc.
En tant que responsable des traitements, l'entreprise doit veiller à ce que ces derniers soient déclarés auprès de la CNIL – Commission Nationale de l’Informatique et des Libertés - ou portés au registre du Correspondant Informatique et Libertés (CIL), si l'entreprise en a désigné un. Les formulaires de déclaration sont disponibles sur le site de la CNIL.
Tout traitement de données à caractère personnel doit respecter ces règles :
Pour les campagnes d'e-mailing par exemple, n’oubliez pas d’offrir aux destinataires la possibilité de se désabonner de votre liste de diffusion.
Ces dispositions seront renforcées en 2018 lors de l'application du règlement européen à la protection des données à caractère personnel.
Ce nouveau règlement européen renforce les droits des personnes physiques (droit à l'oubli numérique, à la portabilité des données, à une information plus complète lors de la collecte de données, droit d'opposition…) et les obligations des personnes qui effectuent le traitement des données, qu'elles soient "responsables" ou sous-traitants (principe d'accountability, pour être en mesure de démontrer que le traitement est conforme au règlement, co-responsabilité, analyse d'impact du traitement sur la vie privée des personnes, obligations de sécurité renforcées, avec notification des violations de données auprès de la CNIL et des personnes concernées s'i y a un risque pour leur vie privée ...). Les pouvoirs publics et les entreprises qui effectuent des traitements de données présentant des risques devront désigner un délégué à la protection des données (DPO) : le CIL en France.
Il y a une procédure à mettre en place en interne afin de pouvoir répondre dans un délai de 2 mois au consommateur. Cette réponse doit être claire et complète sur l’ensemble des données à caractère personnel collectée par l'entreprise.
La CNIL peut effectuer des contrôles en ligne : seront vérifiées la présence d’un bandeau d’information sur les cookies, la conformité des mentions légales, des mentions d'information sur les formulaires collectant des données… Des contrôles peuvent être faits sur place également en cas de plainte. L’entreprise peut ainsi être mise en demeure pour manquement à ses obligations, et la CNIL peut rendre publique sa décision… impactant ainsi l'image de marque de l’entreprise ! Si l'entreprise n'entreprend pas les actions correctrices, elle pourra recevoir un avertissement (sanction), voire une amende. A partir de 2018, cette dernière pourra représenter jusqu’à 4% du CA mondial de l’entreprise... La responsabilité pénale du chef d’entreprise peut également être engagée.
L'entreprise qui désigne un CIL s'engage dans une démarche d'autorégulation et de mise en conformité. Selon l’importance de la donnée personnelle dans le métier de l’entreprise, la mission du CIL peut être soit confiée à un collaborateur en plus de sa mission habituelle (services informatiques, juridiques ou qualité), soit délégué à une personne à part entière au sein de l’entreprise, soit mutualisée avec d’autres structures. Quelle que soit sa responsabilité hiérarchique dans la société pour ses autres missions, ses interventions en tant que CIL se font directement sous la responsabilité du dirigeant, pour une application directe de sa politique.
Dans la Drôme, 129 entreprises et organismes ont désigné un CIL (ils sont 16 000 environ en France).
Il informe et conseille le responsable des traitements sur les obligations qui lui incombent en vertu de la règlementation, il contrôle la conformité des traitements mis en œuvre. Il a un rôle de sensibilisation primordial auprès des collaborateurs et accompagne les équipes opérationnelles en amont et dans la réalisation des projets impliquant un traitement de données (Gestion de la Relation Clients, Gestion de la Formation, transfert de données dans le cadre de partenariats, vente de produits dématérialisés…). Il travaille en interaction avec les services informatique, juridique, qualité, marketing… Le CIL peut s’appuyer sur les réseaux de correspondants existants : AFCDP (regroupe des CIL de tous horizons), le réseau SUPCIL (regroupe les CIL de l’enseignement supérieur et des écoles de commerce), le Club CIL Apronet (regroupe les CIL des collectivités territoriales et les RSSI), ainsi que le service des correspondants de la CNIL.
Rédacteur :
Cécile MULATO
Animatrice Localbiz
Source :
Économie drômoise (L')
Étiquette :
Réglementation
Informatique