Les fondements du RGPD
Face à la numérisation croissante de notre société, nos données personnelles ont pris de plus en plus de valeur et peuvent faire l’objet de dérives (réseaux sociaux ) ou de menaces (cybercriminalité ).
C’est pourquoi il était nécessaire de réaffirmer l’importance de la vie privée (article 9 du code civil ) et de sa protection dans une nouvelle dynamique de sensibilisation collective !
Le GDPR pour General Data Protection Régulation ou encore en français RGPD Règlement Général sur la Protection des Données est un règlement européen qui détaille les nouvelles obligations liées à l’utilisation des données personnelles. Il concerne la législation sur les données personnelles et est entré en vigueur le 25 mai 2018.
Le RGPD renforce la protection des individus en lien avec votre organisation, quant à l’utilisation qui pourrait être faite de leurs données personnelles. Avec ce règlement, il y a une inversion de méthode par rapport à la loi précédente, ce nouveau règlement met en place un contrôle à posteriori des organisations détenant des données personnelles, par la CNIL.
Pour être conforme au RGPD, vous devez poursuivre plusieurs objectifs ambitieux :
- Uniformiser au niveau européen la réglementation sur la protection des données ;
- Responsabiliser davantage les structures concernées en développant l’autocontrôle ;
- Renforcer le droit des personnes (droit à l’accès, droit à l’oubli, droit à la portabilité, etc.).
Êtes-vous concerné par ce nouveau règlement ?
Le Règlement Européen sur la Protection des Données personnelles concerne toutes les structures qui rassemblent des données personnelles.
Depuis le 25 mai 2018 toutes les organisations doivent à minima avoir entrepris les démarches pour se mettre en conformité avec ce règlement. Il s’applique aux acteurs économiques et sociaux, les entreprises bien sûr mais donc aussi les syndicats, les fondations, les administrations, les collectivités, les CSE … et les associations.
En revanche, le RGPD ne s’applique pas aux particuliers selon l’article 18 du règlement. C’est à dire aux personnes physiques qui effectuent des traitements de données à caractère personnel au cours d’activités strictement personnelles ou domestiques. Ces traitements de données doivent être sans lien avec une activité professionnelle ou commerciale.
Un simple nom est donc une donnée personnelle
Définition : une donnée personnelle correspond à toute information se rapportant à une personne physique identifiée ou identifiable […] directement ou indirectement.
On entend par donnée personnelle toute information permettant d’identifier directement (nom, prénom, par exemple) ou indirectement (numéro client, numéro de téléphone, numéro d’immatriculation pour la gestion d’un parking, donnée biométrique, etc.) une personne.
Une personne peut ainsi être identifiée à partir d’une seule donnée (exemples : numéro de sécurité sociale) ou à partir du croisement d’un ensemble de données (personne vivant à telle adresse, née tel jour, abonnée à tel magazine et militant dans telle association).
La notion de fichier recouvre tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés. Que votre ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique (exemple : dossiers classés par ordre alphabétique ou chronologique).
Un traitement de données personnelles est : une opération, ou ensemble d’opérations, portant sur des données personnelles. Et ce quel que soit le procédé utilisé (collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission, diffusion ou toute autre forme de mise à disposition, rapprochement).
De ce fait, une liste de personnes gérée par une association rentre dans le cadre de cette réglementation et celle-ci doit s’y conformer.
Une association, qui collecte et utilise des informations sur les salariés de l’entreprise (par exemple : le nom, le prénom, l’adresse e-mail, l’adresse postale, le numéro de téléphone, …) doit avoir au moins entrepris les actions nécessaires à la mise en conformité de sa base de données.
D’autant plus que beaucoup d’associations font l’objet de la collecte de données sensibles.
En cas de contrôle, les associations doivent être en mesure de présenter un plan d’action et les mesures mises en place dans l’application du RGPD.
Ainsi vous pourrez devoir rendre compte de registres des traitements, mesures de sécurité et PIAs ! Unitae RGPD vous aide pour réunir tous les justificatifs nécessaires en cas de contrôle de la CNIL.
Remarque : le RGPD s’applique aussi bien aux données papier qu’aux données numériques !
Les grands principes de la conformité pour une association
Pour une association, être en conformité avec le RGPD signifie que vous devez :
- Demander et sauvegarder le consentement des personnes pour le traitement des données les concernant ;
- Informer la CNIL et les personnes concernées (dans les 72 heures) si leurs données personnelles ont été piratées dans la base,
- Collecter uniquement les renseignements dont l’association a besoin (respecter le principe de proportionnalité et de minimisation),
- Laisser la possibilité aux personnes dont les données sont collectées de connaître les éléments que l’association conserve sur elles, mais aussi la possibilité de les modifier, les supprimer ou changer d’avis,
- Tracer l’ensemble des documents mis en place servant au traitement des données personnelles.
Le RGPD est l’occasion de questionner les pratiques de votre association et des IRP en général. Mais c’est aussi l’occasion de reprendre les données qu’il collecte.
Cela vous permet de questionner la pertinence de ses collectes et permet de mettre de l’ordre dans les bases de données. Tout salarié qui confie ses données personnelles à votre association, établit une relation de confiance et souhaite le respect de ses droits et de sa vie privée…
Le RGPD réaffirme les droits pour les salariés concernés de maîtriser leurs données en leur confèrent des droits : droits d’accès, de rectification, d’effacement, d’opposition, etc.
Respecter ces droits contribue à valoriser une image de sérieux et de responsabilité des associations !
Un enjeu associatif
Le RGPD est aussi une opportunité de sceller une relation de confiance entre les associations et les salariés.
En effet, l’article 88 Règlement Général de Protection des Données concerne le traitement des données dans les relations de travail. Il prévoit en particulier une articulation possible entre le RGPD et des conventions collectives qui viendraient préciser les garanties apportées au respect des droits des travailleurs :
Les États membres peuvent prévoir, par la loi ou au moyen de conventions collectives, des règles plus spécifiques pour assurer la protection des droits et libertés :
En ce qui concerne le traitement des données à caractère personnel des employés dans le cadre des relations de travail, aux fins, notamment, du recrutement et de l’exécution du contrat de travail. Y compris le respect des obligations fixées par la loi ou par des conventions collectives, de la gestion, de la planification et de l’organisation du travail, de l’égalité et de la diversité sur le lieu de travail, de la santé et de la sécurité au travail, de la protection des biens appartenant à l’employeur ou au client.
Et ce, aux fins de l’exercice et de la jouissance des droits et des avantages liés à l’emploi, individuellement ou collectivement, ainsi qu’aux fins de la résiliation de la relation de travail.
Ces règles comprennent des mesures appropriées et spécifiques pour protéger la dignité humaine : les intérêts légitimes et les droits fondamentaux des personnes concernées. En accordant une attention particulière à la transparence du traitement, au transfert de données à caractère personnel au sein d’un groupe d’entreprises, ou d’un groupe d’entreprises engagées dans une activité économique conjointe et aux systèmes de contrôle sur le lieu de travail.
Cet article peut faire de la protection des données des travailleurs, un enjeu de négociation et de démocratie sociale, envisagé d’emblée avec une dimension collective.
Cela rejoint l’idée d’un droit social des données et d’une protection sociale des données, mais envisagé sous l’angle de la sphère professionnelle.
Attention : Le RGPD prévoit, que ces règles protectrices envers les salariés pourraient être remises en cause partiellement en fonction de vos intérêts légitimes en matière de traitement de données !
Le RGPD un enjeu de négociation
La mise en œuvre du RGPD ne doit donc pas relever d’une définition unilatérale par les employeurs. Cela peut au contraire devenir un enjeu de négociation collective et de démocratie sociale.
Il s’agit de renouer avec les grands principes fondateurs du droit du travail. Comme par exemple, le principe de faveur et la hiérarchie des normes, qui ont reçu des coups très rudes avec la loi El Khomri et les ordonnances Macron, mais qui pourraient retrouver tout leur sens en matière de protection des données des employés. Les normes inférieures, en l’occurrence, les conventions collectives viendraient en la matière ajouter des garanties supplémentaires par rapport au socle légal que constitue le RGPD.
C’est pourquoi il paraît essentiel que la protection des données devienne un enjeu associatif, notamment pour venir compenser le déséquilibre des forces en présence, en ne laissant pas les salariés isolés face aux employeurs pour défendre leur vie privée. C’est dire en somme que l’intérêt légitime de votre organisation ne sera vraiment légitime que s’il est collectivement discuté selon les principes de la démocratie sociale …
Ce qui est vrai au niveau des associations l’est aussi au niveau individuel de l’entreprise dans le cadre d’un accord. Les associations doivent se saisir de la problématique RGPD pour finaliser un accord dans l’entreprise concernant le traitement des données des salariés. Traitement réalisé par l’employeur, mais aussi par le CSE et les associations elles-mêmes.
Nous vous remercions d’avoir lu cet article !
Retrouvez toutes nos assistances RGPD en nous contactant ou directement sur : Nos services Unitae