FICHE PRATIQUE. Le nouveau règlement européen sur la protection des données individuelles (RGPD) entre en vigueur le 25 mai 2018. Face à la complexité du dispositif, la CNIL a annoncé qu'elle ne sanctionnerait pas automatiquement les entreprises dès lors que des démarches de mise en conformité étaient en cours. Compte tenu de la proximité de la date, vous trouverez ci-après des mesures simples pouvant être mises en place dans les entreprises du BTP.

RGPD : cartographier vos traitements de données personnelles


Afin de vous mettre en conformité avec le nouveau RGPD, la première étape consiste tout d'abord à recenser de façon précise les traitements de données personnelles que vous mettez en œuvre au sein de votre entreprise. Pour ce faire, la CNIL propose un modèle de registre que vous pouvez utiliser.

 

Dans le secteur du BTP, 2 types de données personnelles sont généralement collectées :

 

- les données relatives au personnel salarié de la société pour le traitement de la paie et la gestion du personnel ;
- les données relatives aux fichiers clients (prospects et clients) et fournisseurs (fournisseurs inhérents à l'activité de la société mais aussi tous les autres prestataires : fournisseur de logiciel, fournisseur qui sécurise les locaux, etc.).

 

RGPD : définissez les actions à mettre en place

 

Une fois la cartographie de vos données personnelles effectuée, vous devez vous assurer que ce traitement est justifié mais aussi que les règles juridiques de mise en place sont bien respectées. A titre d'exemple, voici les questions que vous êtes amenés à vous poser :

 

- le dispositif de géolocalisation mis en place dans les véhicules de la société a-t-il fait l'objet d'une déclaration auprès de la CNIL ?
- vos conditions générales de vente informent-elles vos prospects clients que leurs données personnelles sont collectées par votre société ?
- disposez-vous d'un support qui est remis à vos salariés précisant que certaines de leurs données personnelles sont collectées, notamment pour le traitement de la paie ?

 

RGPD : évaluer les risques

 

Si vous avez détecté des traitements de données personnelles, vous devez mettre en place des mesures organisationnelles permettant d'assurer leur protection. Ces mesures peuvent prendre différentes formes :

 

1. la rédaction d'une charte informatique qui sera le cas échéant annexée au règlement intérieur de la société ;

 

Notez-le
Pour rappel, toutes les entreprises de 20 salariés et plus ont l'obligation de mettre en place un règlement intérieur. Même si la charte informatique n'est pas obligatoirement annexée au règlement intérieur, la CNIL conseille de l'annexer à celui-ci afin de lui donner une force contraignante.

 

2. prévoir une clause de confidentialité dans les contrats de travail des salariés ayant accès aux données personnelles faisant l'objet d'un traitement au sein de votre société ;

 

Dans le BTP, les principaux salariés en contact avec les données personnelles sont les services comptables qui assurent la gestion du personnel et le traitement de la paie, mais surtout les chargés d'affaire et conducteurs de travaux qui peuvent avoir accès au fichier des prospects et clients de la société. Il est donc conseillé pour ces 2 catégories de personnel d'insérer une clause de confidentialité dans leur contrat de travail. A ce titre, la CNIL vous propose également un modèle de clause de confidentialité.

 

3. gérer la sous-traitance.

 

En effet, lorsque des données sont transmises ou gérées par des sous-traitants, ceux-ci doivent bénéficier de garanties suffisantes. Vous devez notamment demander à votre sous-traitant que celui-ci vous communique sa politique de sécurité des systèmes d'information. Vous devez également prendre et documenter les moyens permettant d'assurer l'effectivité des garanties offertes par le sous-traitant en matière de données personnelles.
Afin de ne manquer aucune étape de la mise en conformité avec le RGPD, les Editions Tissot vous proposent leur livre blanc : « Données personnelles (RGPD) : l'impact pour les RH ».

 

 

Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données
https://www.cnil.fr/fr/rgpd-par-ou-commencer

 

Source : Editions Tissot

 

A propos des Editions Tissot

 

Depuis 40 ans, les Editions Tissot accompagnent les PME et les artisans du BTP dans la gestion de leur personnel avec une documentation pratique et spécifique à leur secteur. Découvrez toute une gamme d'ouvrages papier ou en ligne rédigés en langage simple et compréhensible par tous.

actionclactionfp