Le nouveau règlement européen sur la protection des données personnelles pose le principe d’un contrôle continu de conformité avec de nouvelles obligations pour toute structure qui collecte et gère des données personnelles. Les prestataires en portage salarial sont-ils concernés ?
Introduction
Le Règlement Général sur la Protection des Données (RGPD) entrera en vigueur le 25 mai 2018. Il pose de nouvelles obligations aux structures et sous-traitants qui collectent, utilisent, gèrent ou manipulent des fichiers de données personnelles. Les prestataires en portage salarial sont-ils concernés ? Oui, à la fois dans le cadre de la promotion de leurs activités et de certaines missions de sous-traitance. Bien que salariés d’une société de portage, les portés engagent la responsabilité de leur structure, qui concrètement ne pourra pas vérifier la conformité des bases de données de chacun de leur collaborateur.
Qu’est-ce que le RGPD ?
Le Règlement Général sur la Protection des Données (RGPD) est le nouveau cadre réglementaire européen applicable au 25 mai 2018 pour le traitement et la circulation des données personnelles. Il concerne tous les résidents de l’Union européenne. Il renforce les principes de la loi Informatique et Libertés et ouvre de nouveaux droits aux citoyens sur l’utilisation et la protection de leurs données. Jusqu’à présent, les structures qui traitaient des données personnelles étaient soumises à des autorisations et à des déclarations préalables auprès de la CNIL. Désormais, c’est le principe du contrôle de conformité continue qui prévaut avec l’obligation de respecter le nouveau règlement tout au long du cycle de vie des données personnelles collectées et utilisées.
Quels sont les objectifs du RGPD ?
Le RGPD vise trois grands objectifs : renforcer le droit des personnes physiques sur leurs données personnelles, responsabiliser les acteurs qui traitent des données ainsi que leurs sous-traitants, crédibiliser la régulation en renforçant la coopération entre les acteurs en charge de la protection des données notamment dans le cadre de traitements transnationaux.
Qui est concerné par le nouveau RGPD ?
En pratique est concernée toute personne morale (TPE, PME, associations, collectivités, micro-entrepreneurs, professionnels en portage salarial [les avantages du portage salarial] via leur société de portage, grands groupes, etc.) qui collecte des données personnelles sur des personnes physiques et les traite. On entend par traitement des données personnelles, toute opération visant à les organiser, les conserver, les modifier, les rapprocher d’autres données, les transmettre par traitement informatique ou sur fichier papier.
En somme, vos fichiers clients ou prospects, vos bases de données créées à partir de fiches contacts générées par votre site internet, vos adhérents, … entrent dans le champ réglementaire du RGPD dès lors que vous nommez des personnes physiques. Seules les données des personnes morales sans mention du nom du dirigeant (entreprises, associations) ne sont pas concernées par le RGPD.
Quelle est la définition d’une donnée à caractère personnel ?
C’est une information qui permet de manière directe ou indirecte d’identifier une personne physique. La CNIL donne les exemples suivants : un nom, une photo, une adresse postale, une adresse e-mail, un numéro de téléphone, un identifiant de connexion internet, un enregistrement vocal, un numéro de sécurité sociale, etc. Dans des cas précis, les informations sensibles (idée politique, appartenance ethnique, etc.) ont un encadrement très strict.
Quelles sont les nouvelles obligations ?
Il revient aux responsables de traitement des données de donner aux personnes physiques concernées plusieurs garanties. La CNIL définit trois enjeux prioritaires :
A. « Transparence et consentement renforcé »
L’information sur le traitement des données doit être claire, compréhensible et facile d’accès. Concrètement, les personnes physiques doivent être informées sur les conditions d’utilisation des données. Qui va les utiliser ? Quelle est la finalité du fichier (prospection commerciale, gestion de la clientèle, enquête, …) ? Combien de temps seront enregistrées les données ?
Le consentement des personnes doit être sans ambigüité et une preuve du consentement doit être gardée. A tout moment, les personnes peuvent faire valoir leur droit à l’oubli ou à la suspension du traitement de leurs données.
B. « De nouveaux droits »
Le nouveau règlement introduit le droit à la portabilité des données. Chacun peut ainsi demander à récupérer les informations le concernant sur une forme facilement réutilisable, via un téléchargement selon la juriste du CNIL que nous avons contactée. L’objectif étant de permettre à chacun sur demande de gérer et réutiliser ces informations en les transférant par exemple à une autre structure.
Les données concernant les mineurs de moins de 16 ans sont désormais très encadrées : une information claire et précise compréhensible par l’enfant doit être rédigée en cas de collecte d’informations personnelles et un consentement auprès du représentant de l’autorité parentale doit être obtenu. A la majorité des enfants, les informations doivent pouvoir être détruites.
Les associations des droits et libertés voient leur action élargie puisqu’elles pourront faire des recours collectifs en cas de manquement.
Enfin, un droit de réparation à un préjudice subi en cas de violation du RGPD est mis en place à l’encontre à la fois du responsable du traitement des données et de son ou ses sous-traitants.
C. « La protection des données dès la conception et par défaut »
Cette obligation impose que toutes les mesures nécessaires à la protection des données soient définies dès la conception d’un projet ou d’un service et que le principe de la collecte des informations à minima soit appliqué. Il faudra donc se poser la question de la pertinence des informations collectées et la justifier dans un registre en fonction de la finalité de la base de données. En somme, si vous avez des mentions autres que le nom et les coordonnées d’une personne, sont-elles pertinentes pour votre projet ou pas ? Et pouvez-vous l’argumenter ?
Quelle que soit la structure qui manipule des données personnelles – du consultant porté[devenir consultant en portage salarial] à la grande entreprise – elle doit impérativement mettre en œuvre tous les moyens nécessaires pour que ces informations soient sécurisées pour éviter toute faille ou utilisation frauduleuse : perte des informations, fishing, virus, etc. En cas de faille, les personnes concernées doivent être informées sur les raisons du dysfonctionnement et sur les moyens mis en œuvre pour le régler.
Du nouveau pour les spécialistes du traitement des données et pour les gestionnaires de données sensibles
Les organisations dont l’activité principale est de traiter des données à grande échelle ou les structures qui gèrent des données sensibles devront nommer un délégué de la protection des données chargé de la conformité continue de l’organisation et de la gestion des informations avec le RGPD.
Autre mesure pour les données sensibles : les structures devront réaliser une étude d’impact sur la vie privée.
Une co-responsabilité entre sous-traitants et responsables des données
Vous êtes consultant informatique porté [à qui s’adresse le portage salarial], sous-traitant d’un client X qui vous commande un nouveau site internet, un nouveau système de gestion de base de données ? Même si vous êtes juridiquement salarié d’une société de portage salarial, cette co-responsabilité vous concerne puisque vous engagez via votre contrat de prestation la responsabilité de votre société de portage.
En cas de faille, de problème de sécurité, de non-respect du RGPD, les personnes physiques pourront se retourner contre le responsable des données (le client) mais aussi contre vous en tant que sous-traitant.
Le sous-traitant doit désormais respecter plusieurs obligations : sécurité, confidentialité, conseil au responsable de traitement pour sa mise en conformité avec le RGPD. Il doit également au même titre que son donneur d’ordre avoir un registre des données traitées.
Pour en savoir plus sur votre responsabilité et sur les clauses à ajouter dans votre contrat de prestations, téléchargez le guide du sous-traitant.