Le règlement général sur la protection des données (RGPD) ne concerne pas que les grandes entreprises : dès qu'une organisation traite des données de personnes – clients, fournisseurs et surtout travailleurs – elle a des obligations. Voici les bonnes pratiques de base à appliquer au bureau.
Trois principes fondamentaux
Selon l'Autorité de protection des données, tout traitement de données du personnel doit respecter :
- la finalité : les données sont collectées pour des buts déterminés, explicites et légitimes ;
- la proportionnalité : on ne traite que les données strictement nécessaires à ce but ;
- la transparence : les travailleurs sont informés que leurs données sont traitées et dans quel but, dès la collecte.
Concrètement, un contrôle du réseau peut viser à prévenir les abus ou à protéger des données confidentielles ; une géolocalisation, à assurer la sécurité ou la logistique ; une caméra, à protéger les biens de l'entreprise. Dans chaque cas, la finalité doit être définie et communiquée.
Informer et documenter
L'employeur, responsable du traitement, doit communiquer certaines informations, en principe au moment de la conclusion du contrat : la durée de conservation des données (les documents sociaux se conservent en principe cinq ans après la fin du contrat), le droit de retirer un consentement et le droit d'introduire une plainte auprès de l'APD. Il doit aussi tenir un registre des activités de traitement, qui remplace l'ancienne obligation de déclaration. Cette obligation vise les entreprises de plus de 250 travailleurs, mais aussi les plus petites dès que le traitement n'est pas occasionnel : la gestion du personnel étant permanente, l'APD recommande à toutes les entreprises de tenir un registre.
Données sensibles et surveillance
Le traitement de données sensibles (la santé, par exemple) est en principe interdit, sauf exceptions prévues par la loi ou consentement explicite. Toute surveillance (caméras, contrôle des e-mails, géolocalisation) doit rester proportionnée et transparente : les travailleurs doivent en être informés au préalable.
La sécurité, socle du RGPD
Protéger les données, c'est aussi les sécuriser. L'ENISA rappelle que les PME sont souvent visées par les rançongiciels, le vol d'ordinateurs portables et le phishing. Les gestes de base – accès restreints, mots de passe forts et authentification à deux facteurs, sauvegardes, mises à jour – sont donc indissociables de la conformité au RGPD.