Le Règlement Général sur la Protection des Données (RGPD), décidé à l’échelle de l’union européenne, va entrer en vigueur le 25 mai 2018. Ce nouveau cadre réglementaire pour le traitement et la circulation des données personnelles pose de nouvelles obligations aux structures et sous-traitants qui collectent, utilisent ou manipulent ces données dans le cadre de leur activité.
Les prestataires en portage salarial sont eux-aussi concernés. Bien que salariés d’une société de portage, les portés, dans le cadre de la promotion de leur activité et de leurs missions, engagent leur responsabilité.
Alors, quels sont les changements concrets dans la gestion de vos données et comment vous assurer de votre conformité au RGPD ?
Comment fonctionne le RGPD ?
Les données personnelles
Les « données à caractère personnel » sont définies par la Commission Nationale de l’Informatique et des Libertés (CNIL) et entendues comme une information qui permet d’identifier une personne physique de manière directe ou indirecte. Par exemple, une photo, un nom, une adresse postale, e-mail, un numéro de sécurité sociale ou encore un enregistrement vocal font partie de ces données. Les données considérées « sensibles », telles que les idées politiques ou l’appartenance ethnique, ont un encadrement encore plus strict.
Un nouveau règlement européen
Jusqu’à maintenant, les structures ayant accès aux données personnelles étaient soumises à l’autorité de la CNIL, à qui elles devaient demander des autorisations et des déclarations préalables. A partir du 25 mai, le contrôle continu de conformité va s’appliquer afin d’obliger les détenteurs des données à respecter le nouveau règlement.
Le traitement de ces données comprend toute opération visant à les organiser, les conserver, les modifier, les comparer ou les transmettre. Il est voué à être suivi régulièrement par celui qui les stocke. Le RGPD incite ainsi à responsabiliser les structures et personnes ; et d’éviter tout abus lié à leur communication excessive ou sans consentement.
Qui est concerné ?
Sont concernés par le RGPD toutes les personnes morales (grands groupes, PME, TPE, micro-entrepreneurs, professionnels en portage salarial via leur société de portage, associations ou collectivités,…) qui utilisent des données personnelles appartenant à des personnes physiques.
Toutes les informations de vos clients ou prospects collectées dans des bases de données sont soumises au RGPD. Les données sur les personnes morales sans mention du nom du dirigeant sont exclues du règlement.
Quelles sont vos nouvelles obligations ?
Les structures aussi bien publiques que privées seront maintenant tenues de donner des garanties aux citoyens.
En tant que salarié porté, vous êtes autonome dans la prospection de votre clientèle comme la convention collective du portage salarial le prévoit.
Transparence et consentement renforcés
Les personnes physiques ayant communiqué leurs données personnelles doivent être informées sur leurs conditions d’utilisation.
A partir du 25 mai vous n’aurez plus de déclaration en ligne à faire auprès de la CNIL mais il vous reviendra d’assurer un contrôle continu en tenant un registre des données. Vous ne pourrez pas les conserver plus de 3 ans après la fin de la relation contractuelle avec votre client ou prospect.
Le consentement des personnes ne doit faire aucun doute et une preuve de celui-ci doit être gardée. Les personnes doivent pouvoir faire valoir à tout moment leur droit à l’oubli ou à la suspension du traitement de leurs données.
En cas de perte, faille de sécurité ou utilisation frauduleuse des données vous êtes responsable. En tant que porté il est donc important de sauvegarder régulièrement vos fichiers, stocker les de façon sécurisée en cas de panne informatique, utiliser des antivirus, pare-feu et codes d’accès ; demander des garanties auprès de vos sous-traitants car ils sont co-responsables.
La protection des données dès la collecte
Lors des collectes d’informations il faudra se poser la question de la pertinence de chaque champ, demandé dans votre formulaire, dans un registre en fonction de son utilisation.
Si vous gérez un site web, vous devez donc faire attention à plusieurs points !
– Pour les formulaires contact vous devez mentionner les champs obligatoires et facultatifs et définir le droit des personnes (retrait, portabilité, suspension…) de façon bien visible avant validation. La validation du formulaire par le prospect vaut consentement, vous devez en garder une trace.
– Les mentions légales doivent rappeler les droits des personnes, préciser le nom du responsable du traitement des données, qu’un registre est bien tenu et indiquer les mesures de sécurité prises pour garantir la protection des données collectées.
– L’utilisation des cookies doit faire l’objet d’une information précise quant à leur finalité, la possibilité de s’y opposer, de changer de paramètres…
Si vous avez des questions plus précises, la CNIL vous répond pendant sa permanence juridique au 01 53 73 22 22.