Le RGPD, c’est quoi ?
Le Règlement Général sur la Protection des Données renforce les droits des citoyens européens. Il leur donne plus de contrôle sur leurs données personnelles. Il simplifie les formalités pour les entreprises et offre un cadre juridique unifié. Comme tout règlement européen, son application est directe : sa transposition en droit interne est inutile. Il concerne toutes les entités : entreprise, établissement public, association… Les comités et les organisations syndicales doivent donc s’y soumettre si elles entrent dans son champ.
Justement, quels sont les critères d’application ?
Toute structure qui procède à des traitements de données à caractère personnel sur le territoire européen est concernée par le RGPD. Ces données peuvent être l’adresse personnelle, le nombre d’enfants, la situation de famille ou les informations fiscales. En outre, les données personnelles sensibles révèlent l’origine raciale ou ethnique, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale, les données concernant la santé ou l’orientation sexuelle. Fait nouveau, les données génétiques ou biométriques sont maintenant incluses.
Le RGPD impose la réalisation d’analyses d’impact sur la vie privée (DPIA) dès lors que les traitements de données répondent à au moins 2 critères parmi les suivants :
- évaluation ou profilage,
- décision automatique avec effet légal ou similaire,
- surveillance systématique,
- collecte de données sensibles,
- collecte de données personnelles à large échelle,
- croisement de données,
- personnes vulnérables (patients, personnes âgées, enfants, etc.),
- usage innovant (utilisation d’une nouvelle technologie),
- exclusion du bénéfice d’un droit/contrat.
Les comités et les organisations syndicales sont amenées à traiter de telles données (en italique ci-dessus). Le RGPD leur est donc applicable.
Quels sont les enjeux de la date du 25 mai 2018 ?
Les structures qui auront entamé la procédure de mise en conformité avant le 25 mai 2018 disposeront d’un délai de 36 mois maximum pour compléter la mise en conformité. À défaut, la mise en conformité sont exigibles dès le 26 mai 2018. Commencer la procédure en avance permet donc d’obtenir un délai pour compléter la conformité. Même si les entités visées en premier lieu sont plutôt les géants d’Internet, cela évite de prêter le flanc à la critique.
Quelles solutions adopter dans un délai aussi court ?
Les structures doivent désigner un responsable de la protection des données (DPO) en charge de la conduite des opérations. Il peut être interne à l’organisation (il doit posséder les compétences requises) ou être externe. La désignation d’un DPO avant le 25 mai 2018 ouvre également le délai de 36 mois évoqué plus haut.
La SACEF va désigner un DPO externe pour prendre en charge ces opérations de mise en conformité : le SEDPOM (Service Externalié de DPO Mutualisé). Ce partenaire nous propose le système de mutualisation suivant :
- un contrat-cadre prévoiera les conditions de la mutualisation,
- chaque comité ou organisation syndicale sera libre de contracter avec le SEDPOM, à titre individuel,
- le SEDPOM sera le seul interlocuteur DPO de chaque structure adhérente,
- la SACEF et le SEDPOM sont absolument indépendants l’un de l’autre, hormis le contrat de DPO qui les liera à titre individuel,
- plus le nombre d’adhérents sera élevé et plus la cotisation sera réduite.
Nous vous tiendrons informés des conditions particulières et financières dès que possible pour que vous puissiez prendre vos décisions rapidement.
Si ce principe vous intéresse, adressez-nous un email à sacef@sacef.fr en mentionnant #RGPD dans l’objet :).
Plus d’informations sur le site de la CNIL : https://www.cnil.fr/fr/comprendre-le-reglement-europeen