Le Règlement Général sur la Protection des Données (RGPD) : synthèse, fiches et modèles
Le RGPD, Règlement Général sur la Protection des Données, entre en application le 25 mai 2018. Après avoir abordé cette nouvelle réglementation européenne dans nos commissions nationales et lors de notre Assemblée Générale du 29 mars 2018, avant d’en reparler à l’occasion du prochain Séminaire des Forces Vives (25-26 juin 2018 à Bordeaux), nous vous proposons une synthèse des actions à mettre en place, des fiches détaillées, ainsi que des modèles sur lesquels vous inspirer.
connectez-vous ou contactez-nous pour : Devenir
adhérent Devenir
partenaire
Le RGPD, Règlement Général sur la Protection des Données, entre en application le 25 mai 2018. Après avoir abordé cette nouvelle réglementation européenne dans nos commissions nationales et lors de notre Assemblée Générale du 29 mars 2018, avant d’en reparler à l’occasion du prochain Séminaire des Forces Vives (25-26 juin 2018 à Bordeaux), nous vous proposons une synthèse des actions à mettre en place, des fiches détaillées, ainsi que des modèles sur lesquels vous appuyer.
Contexte et synthèse du RGPD
Le RGPD peut être compris comme la mise en place d’une comptabilité de l’activité numérique de l’entreprise. Il s’applique à toute opération, automatisée ou non, portant sur des données personnelles : informations se rapportant à une personne physique identifiée ou identifiable (nom, prénom, image, date et lieu de naissance, coordonnées, géolocalisation, adresse IP…). Cela concerne aussi bien les clients, les prospects, les fournisseurs, les sous-traitants que les salariés… Il s’impose aussi bien aux entreprises qu’aux institutions publiques, aux associations… et aux organisations professionnelles.
La mise en oeuvre du RGPD s’appuie sur une démarche de conformité en sept étapes :
1. Identifier les traitements de données personnelles
2. Tenir un registre des traitements de l’entreprise
3. Mettre en place une politique interne de protection des données personnelles
4. Réaliser, si nécessaire, des « analyses d’impact »
5. Identifier et mettre à jour les contrats avec les prestataires
6. Informer les titulaires des données traitées (salariés, clients, adhérents, prospects…) des modalités du traitement et de leurs droits
7. Nommer, dans certains cas, un Délégué à la Protection des Données (DPO)
Face à cette lourdeur, la FFB appelle les pouvoirs publics à instaurer une dérogation pour les TPE-PME du bâtiment ou du moins une simplification drastique de leurs obligations. « Les plus grandes entreprises ont des services juridiques et informatiques, qui leur permettent de se mettre en conformité avec le RGPD. Pour les plus petites, c'est forcément plus difficile. Les artisans et entrepreneurs de la construction ne sont pas les géants du Web ! », a déclaré le Président Jacques Chanut.
La grande majorité des entreprises ne respecteront pas le RGPD à la lettre le 25 mai 2018. Les pouvoirs publics en ont bien conscience et la CNIL (Commission Nationale de l’Informatique et des Libertés) ne punira pas celles qui n’auront pas bouclé leur processus de mise en conformité à l’entrée en vigueur du texte. Cette bienveillance reste conditionnée au lancement d’une démarche de conformité et au respect des principes de base de la protection des données personnelles (information des personnes et respect de leurs droits, mise en oeuvre de traitements non disproportionnés et licites…). Pour information, les sanctions pourront atteindre jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires.
Pour considérer cette nouvelle donne d’un point de vue plus constructif, le RGPD constitue une bonne occasion de mettre de l’ordre et de mieux exploiter la multitude de données collectées. Il s’agit de mieux connaître ses clients, ses sous-traitants, ses prestataires, ses fournisseurs, ses salariés… pour mieux en tirer parti dans sa stratégie d’entreprise. La data, nouvel or noir, sera d’ailleurs l’un des trois grands sujets de réflexion de notre prochain Séminaire des Forces Vives.
Deux modèles de registre des traitements de l’entreprise
Pour vous aider à tenir le registre des activités de traitement (étape n°2), nous vous proposons de télécharger deux modèles préparés par la FFB :
• un modèle pré-rempli de registre d’activités de traitement sous format Excel, basé sur le modèle de la Commission Européenne (contenu détaillé)
• un modèle pré-rempli de registre d’activités de traitement sous format Word, basé sur le modèle de la CNIL, publié le 14 mai 2018 à destination des TPE/PME (contenu simplifié)
Ces modèles sont censés couvrir la majorité des situations, mais n’ont pas la prétention d’être exhaustifs. Tout adhérent souhaitant utiliser, sous sa seule responsabilité, les modèles en question, devra donc s’assurer au préalable de leur adéquation à sa situation et à ses besoins particuliers.
Exemples de traitement de données : gestion des ressources humaines, des clients, des prospects et fournisseurs ; paie ; géolocalisation ; vidéosurveillance…
Sous format papier ou numérique, ce registre doit être tenu à jour et mis à disposition de l’émissaire de la CNIL en cas de contrôle.
Quatre modèles d’information au salarié
Le RGPD renforce l’obligation d’information de l’employeur à l’égard de ses salariés, dont il collecte et traite les données personnelles (ex : paie, gestion du personnel, géolocalisation…). Dans la très grande majorité des contrats de travail (pour tous les salariés ayant accès à des données personnelles de clients, de fournisseurs, d’autres salariés…), une clause de confidentialité doit être introduite.
Pour informer vos salariés et candidats à l’embauche, vous pouvez utiliser les modèles suivants élaborés par la CNIL (clause de confidentialité) et la direction des affaires sociales et de la formation de la FFB (informations) :
• Modèle n°1 : la clause de confidentialité
• Modèle n°2 : information au salarié
• Modèle n°3 : information au candidat à l’embauche
• Modèle n°4 : information au salarié sur la géolocalisation
Modèles pour formulaires, sites internet et devis/CGC
La direction des affaires juridiques et fiscales de la FFB vous propose également des modèles de clauses et de messages d’informations pour trois domaines particuliers : Mention d’information pour les formulaires de collecte de données personnelles (type formulaire de contact, enquêtes de satisfaction clients…) ; Divers modèles pour les sites internet ; Clause et mentions pour les devis/conditions générales de vente ou d’intervention.
Deux modèles pour le Délégué à la Protection des Données (DPO)
Concernant le Délégué à la Protection des Données (DPO), l’Association Française des Correspondants à la protection des Données à caractère Personnel (AFCDP) a élaboré deux documents modèles :
• Une fiche de poste DPO
• Une lettre de mission DPO
Cinq fiches explicatives sur le RGPD
La direction des affaires juridiques et fiscales de la FFB a rédigé cinq fiches explicatives pour aider les adhérents à se familiariser avec les exigences du RGPD et à mettre en place les actions de mise en conformité. Sur chaque fiche, vous retrouverez l’essentiel de ce qu’il faut retenir en une page :
• Fiche n°1 : Le champ d’application
• Fiche n°2 : Principes directeurs des traitements et respect des droits des individus
• Fiche n°3 : La responsabilisation des acteurs du traitement
• Fiche n°4 : L'organisation contractuelle des relations entre les acteurs du traitement
• Fiche n°5 : Le délégué à la protection des données personnelles (DPO)
Information précontractuelle CCMI et VEFA
LCA-FFB mettra très prochainement à votre disposition trois modèles d’information précontractuelle, mis à jour pour respecter les exigences du RGPD. Il s’agit des documents d’information précontractuelle pour le CCMI avec fourniture de plan, pour le CCMI sans fourniture de plan et pour le contrat préliminaire à une VEFA.
Téléchargez le PDF de cette Actualité juridique LCA-FFB consacrée au RGPD