Adelyce
17 avril 2018
  • Veille
  • Revue de presse

RGPD : les RH doivent s’interroger sur le traitement des données de leurs agents

Les traitements de données à caractère personnel sont nombreux et sensibles dans le domaine des RH. Le RGPD est l'occasion de vérifier la conformité de ces traitements et pose de nouvelle
www.lagazettedescommunes.com

Notre commentaire

Le RGPD est le nouveau cadre européen concernant le traitement et la circulation des données à caractère personnel, ces informations sur lesquelles les entreprises s’appuient pour proposer des services et des produits. Ce texte couvre l’ensemble des résidents de l’Union européenne.

Le Règlement général sur la protection des données, a été voté en 2016, et sera appliqué dans l'Union européenne à partir du 25 mai 2018.

 

 Quels sont les objectifs du RGPD ?

Les objectifs du RGPD sont multiples. Il s’agit d’actualiser le texte de référence de l’UE datant de 1995, rendu obsolète par les avancées technologiques (Big Data, objets connectés, Intelligence Artificielle), de créer un cadre renforcé et d’harmoniser la protection des données pour faire face aux nouveaux défis de la protection individuelle des libertés. 
L’individu est placé au cœur du dispositif légal qui voit ainsi ses droits renforcés (consolidation des obligations d’information, restrictions en termes de recueil de consentement, nouveau droit à la portabilité des données, à l’effacement, etc.).

 

 Qui est concerné par le RGPD ?

Toute entité manipulant des données personnelles concernant des Européens doit s’y conformer, qu’il s’agisse d’une entreprise, d’un sous-traitant ou d’une association. Bien entendu, l’ensemble du secteur public se trouve en première ligne, même si les premiers visés restent les GAFA (Google, Amazon, Facebook et Apple).

D’autre part, le texte ne s’applique pas uniquement aux organisations établies sur le territoire européen, tous les organismes qui collectent et exploitent des données personnelles européennes doivent aussi s’y conformer.

 

 Qu’est-ce qu’une donnée personnelle ?

Une donnée personnelle (ou donnée à caractère personnel) est une information qui permet d’identifier une personne physique, directement ou indirectement. Il peut s’agir d’un nom, d’une photographie, d’une adresse IP, d’un numéro de téléphone, d’un identifiant de connexion informatique, d’une adresse postale, d’une empreinte, d’un enregistrement vocal, d’un numéro de sécurité sociale, d’un mail, etc.

Certaines données sont sensibles, car elles touchent à des informations qui peuvent donner lieu à de la discrimination ou des préjugés, telle qu’une opinion politique, sensibilité religieuse ou situation médicale…

 

 Quels impacts dans les collectivités ?

Les collectivités traitent de nombreuses données à caractère personnel, que ce soit celles des agents pour assurer la gestion administrative, soit celles de administrés lors de la gestion des différents services publics et activités dont la collectivité à la compétence.

Les collectivités doivent veiller à respecter les cinq piliers suivants:

  • Finalité du traitement
  • Pertinence des données collectées
  • Limitation de la conservation
  • Droit d'accès aux données
  • Sécurité, protection des données collectées

Un délégué de la protection des données doit être désigné. Ce délégué aura une mission d’information, de conseil et de contrôle en interne.

Afin des respecter le RGPD, il est nécessaire de cartographier les traitements de données personnelles ; pour mesurer concrètement l’impact du règlement européen sur la protection des données qui sont traitées, il faut recenser de manière précise les traitements de données personnelles. A l’issue de ce recensement, il convient d’élaborer un registre des traitements.

Sur la base du registre réalisé, il convient d’identifier les actions à mener pour se conformer aux obligations actuelles et à venir. Prioriser les actions au regard des risques que font peser les traitements sur les droits et les libertés des personnes concernées.

En vue d’assurer un haut niveau de protection des données personnelles en permanence, il est nécessaire de mettre en place des procédures internes qui garantissent la prise en compte de la protection des données à tout moment, en prenant en compte l’ensemble des événements qui peuvent survenir au cours de la vie d’un traitement, comme par exemple, une faille de sécurité, modification des données collectées…

Pour prouver la conformité au règlement de la collectivité, il convient de constituer et regrouper la documentation nécessaire. Les actions et documents réalisés à chaque étape doivent être réexaminés et actualisés régulièrement pour assurer une protection des données en continu.

 

La mise en application du RGPD, va bouleverser et obliger les collectivités à revoir leurs procédures de collecte des données personnelles. Nul doute qu’il va s’agir pour elles d’un travail considérable compte tenu de la multitude de domaines d’intervention les concernant.