Le RGPD instaure une règlementation harmonisée en matière de protection des données qui sera directement applicable
au sein de toute l’Union européenne. En principe, le RGPD s’applique de la même manière dans le secteur public et
dans le secteur privé et cette législation vaut aussi bien pour les grandes entreprises que pour les PME.
Le RGPD s’applique à tout traitement de données à caractère personnel et ne fait en principe pas d’exceptions pour les
PME.
Obligations
Les nouvelles obligations créées par le RGPD peuvent se résumer en trois lignes de force : l’approche basée sur les
risques, la responsabilité et la transparence :
- L’approche basée sur les risques signifie que les obligations qui découlent du RGPD varient en fonction du risque lié à l’activité de traitement. Le RGPD crée donc une marge pour parvenir à une solution sur mesure pour chaque PME.
- La responsabilité implique qu’un responsable du traitement doit pouvoir démontrer le respect du RGPD. Dès lors, la documentation des choix est importante de manière à ce qu’une PME puisse justifier les raisons pour lesquelles elle a ou non instauré une mesure déterminée.
- La transparence est cruciale, tant en interne qu’en externe. En interne, vous devez avoir une idée claire de tous les traitements de données à caractère personnel sous la responsabilité de votre PME et vous devez sensibiliser le personnel à ce sujet. En externe, vous devez informer plus clairement les personnes dont vous traitez les données quant à leurs droits, à la manière dont elles peuvent exercer ces droits et aux tenants et aboutissants de l’activité de traitement.
Données personnelles
Sont des données à caractère personnel :
- les nom, prénom et coordonnées de clients, de membres du personnel ou de fournisseurs (personnes physiques) ;
- l’historique des achats, les factures impayées, les informations de paiement (pour autant qu’elles concernent des personnes physiques) ;
- les évaluations du personnel et attestations médicales ;
- les informations relatives aux pages Internet visitées par une adresse IP ;
- les données de localisation (par ex. localisation via une application d’un smartphone) ;
- une liste des matricules des personnes qui travaillent à mi-temps ;
- des images vidéo et plaques d’immatriculation.
Données sensibles
Il s’agit de :
- catégories particulières de données à caractère personnel (article 9 du RGPD). Font partie de ce groupe les données relatives à la santé, les données génétiques et les données biométriques en vue de l’identification unique d’une personne. Les données à caractère personnel qui révèlent l’origine raciale ou ethnique, la vie sexuelle ou l’orientation sexuelle, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale font aussi partie de cette catégorie particulière ;
- données judiciaires relatives aux condamnations pénales et aux infractions (article 10 du RGPD).
Principes de base
Une PME invoquera principalement le consentement, le contrat, le respect d’une obligation légale et l’intérêt
légitime. Toutes ces bases juridiques sont équivalentes et il appartient à la PME de choisir la base juridique qui
correspond le mieux à ses activités de traitement.
Attention : si vous traitez des données sensibles, outre une de ces bases juridiques, vous devez également satisfaire
à un des motifs d’exception prévus à l’article 9.2 ou à l’article 10 du RGPD !
Pour de plus amples informations
Le Préposé fédéral à la protection des données et à la transparence met à disposition un guide pratique, un vade-mecum ainsi qu'une petite formation en ligne.
Le Préposé cantonal met également à disposition plusieurs explications.
Source : RGPD, Vade-mecum pour le PME, Commission de la protection de la vie privée (CPVP)
Illustration : www.bilan.ch