You are currently viewing Le RGPD, quels enjeux pour les secrétaires/assistant(e)s indépendant(e)s ?

Le RGPD, quels enjeux pour les secrétaires/assistant(e)s indépendant(e)s ?

Le 5ème atelier de la Commission ESI du 5 septembre 2020 a voulu répondre à un double défi :

  • en tant que structure indépendante, que dois-je faire concrètement pour me mettre en conformité ?
  • en tant que prestataire auprès de mes clients, comment les conseiller ?

C’est avec patience et bienveillance que nos deux membres, Corinne VERRILLI MIRC et Magali METTEIL, ont réussi à démystifier le sujet du RGPD au travers d’une présentation qui reprenait les différentes étapes à mettre en place et répondait à de nombreuses questions.

Historique

Avant de parler du RGPD, il est bon de rappeler la création de la CNIL (Commission Nationale de l’Informatique et des Libertés) en 1978 dont le rôle principal est de veiller à la protection des données personnelles contenues dans les fichiers et traitements informatiques ou papiers, aussi bien publics que privés.

En effet, chaque individu est générateur de données (papier, smartphone, réseaux sociaux, objets connectés, etc) et le volume de ces données ne cessent d’augmenter.

Plusieurs alertes ont incité les législateurs à protéger les données à caractère personnel des individus avec, entre autres :

  • le projet SAFARI qui visait à interconnecter les fichiers nominatifs de l’administration française (par le biais du numéro de sécurité sociale)
  • les lanceurs d’alerte, tels Edward Snowden qui a révélé l’existence de programmes de surveillance aux Etats-Unis,
  • etc.

L’effacement progressif des frontières entre monde physique et numérique à travers le monde a incité le renforcement des mesures tant au niveau national qu’européen.

Le RGPD, c’est quoi ?

Dans la continuité de la loi informatique et libertés de 1978, le Règlement Général sur la Protection des Données (RGPD en français ou GDPR en anglais) est un texte de référence en matière de protection des données à caractère personnel. Il renforce et unifie la protection des données pour les individus au sein de l’Union européenne.

Il est applicable depuis le 25 mai 1978.

Son objectif premier est de proposer un cadre protecteur en renforçant le contrôle que les citoyens peuvent avoir sur l’utilisation de leurs données personnelles.

Tout organisme se trouvant sur le territoire de l’Union Européenne est concerné et doit se mettre en conformité en respectant les fondamentaux :

  • ne collecter que les données nécessaires
  • obtenir le consentement de la personne
  • être transparent sur l’accessibilité des données
  • sécuriser les données collectées

Les enjeux du RGPD

Le RGPD a permis une harmonisation des règles en Europe sur la protection des données, bien que chaque pays conserve ses propres lois en la matière.

Il propose un cadre juridique aux responsables de traitement (les collecteurs de données) et permet transparence et confiance aux personnes concernées.

Il redonne aux citoyens européens le contrôle de leurs données personnelles (modification ou suppression).

Il donne un pouvoir de sanction à la CNIL pouvant aller jusqu’à 4% du CA ou 20 M€ des entreprises qui ne respectent pas les obligations.

Pour les entreprises, les enjeux sont donc d’éviter les sanctions mais la finalité demeure la gestion de la relation client avec la sécurisation des données, une démarche qualité et une meilleure efficience commerciale dans la gestion des bases de données.

Après cette première partie théorique pour replacer le contexte du RGPD, la deuxième partie a abordé les conseils pour mettre en place la conformité avec un plan d’action proposé :

1ère étape : désigner un pilote

Ce peut être un DPO (Data Protection Officer) ou toute personne qui va coordonner, tel un chef d’orchestre, les actions à mettre en place avec les différents acteurs de l’entreprise.

Quand on est indépendant, c’est bien sûr une seule et même personne qui va gérer les actions à mener. Pas la peine de nommer un DPO dans ce cas-là !

Toute secrétaire externalisée est à même de tenir ce rôle, ou de conseiller ses clients car sa fonction lui donne une excellente vision de l’entreprise en étant au cœur du circuit d’information. C’est une opportunité de monter en compétences !

2ème étape : cartographier les traitements de données personnelles

C’est le moment de regarder toutes les activités qui collectent des données personnelles : gestion commerciale, ressources humaines, gestion des achats, communication et événementiel, etc.

Vient ensuite la tâche administrative d’établir un registre d’activités avec une fiche par activité en répondant à différents critères (finalité du traitement des données, durée de conservation des données, personnes concernées, etc.).

La CNIL propose des modèles à télécharger en format texte ou sur tableur (le format texte propose plus de détails alors que le tableur est plus synthétique). [Lien]

3ème étape : prioriser les actions

Il s’agit d’inventorier ce qui existe déjà et d’établir un plan d’action pour remédier aux constats de non conformité.

Quelques exemples :

  • cesser la collecte de données si elles ne sont pas nécessaires à la finalité recherchée
  • passer en revue les données stockées et prévoir de les supprimer dès que la durée limite de conservation est atteinte (3 ans pour les données d’un prospect qui ne répond à aucune sollicitation, 5 ans pour les données relatives à la gestion de la paie, 10 ans pour un dossier comptable, etc)

4ème étape : gérer les risques

Cette étape concerne surtout les entreprises qui traitent des données à risque élevé telles que :

  • les données sensibles (santé, origine raciale, opinion politique, opinion religieuse, casier judiciaire, etc)
  • les traitements de données à grande échelle (ex : les réseaux sociaux, les entreprises publiques, les collectivités)
  • les données concernant les personnes vulnérables (enfants, patients, etc)

A ce moment-là, l’entreprise doit réaliser une Analyse d’Impact sur la Protection des Données (AIPD) et mettre en place des mesures pour garantir la sécurisation des données ainsi qu’une procédure en cas de violation des données.

La CNIL met à disposition sur son site le téléchargement d’un logiciel gratuit : [lien]

5ème étape : organiser les processus internes

Le but est de rédiger des procédures garantissant le bon respect de la conformité en interne avec les mesures de sécurité appropriées.

Pour un indépendant, le plus important est de rédiger sa politique de confidentialité surtout s’il utilise un site internet.

L’entreprise devra donc mettre en oeuvre une politique de sécurité sur les traitements existants (privacy by default) et prévoir ou mettre à jour ses procédures dès la mise en place de nouveaux traitements de données (privacy by design).

Ces procédures seront accessibles en interne pour le personnel mais également en externe sur demande écrite (notamment la politique de confidentialité).

Cela implique l’organisation de traitement de réclamations ou d’exercices de leurs droits par les personnes concernées.

Pour toute violation de données constatée, il est obligatoire de prévenir la CNIL dans un délai de 72h et d’informer les personnes concernées dans les meilleurs délais.

6ème étape : documenter la conformité

Cette étape peut être traitée dès le début d’un lancement de projet afin de gagner du temps et de prouver son engagement dans la démarche de mise en conformité en cas de contrôle.

Il s’agit de consigner toutes les preuves dans un dossier prévu à cet effet :

  • registres de traitement
  • analyse d’impact et gestion des risques (s’il y a lieu)
  • transfert de données hors UE
  • procédures internes (en cas de violation de données, sauvegarde et stockage des données, etc.)
  • politique de confidentialité
  • contrats avec les sous-traitants, prestataires, partenaires (print écran de leur politique de confidentialité de leur site internet)

En conclusion

La personne qui exerce le métier de secrétaire externalisée a un rôle majeur à jouer dans la mise en conformité du RGPD.

Elle va s’exercer sur sa propre structure en :

  • créant ses propres registres d’activités et en documentant la conformité
  • vérifiant ses mentions légales, politique de confidentialité, gestion des cookies et formulaire de contact (case à cocher pour le consentement) sur son site internet
  • ajoutant un article “respect de mise en conformité RGPD” dans ses contrats de prestation

Elle va accompagner et conseiller ses propres clients à comprendre l’importance de cette loi et leur permettre de se mettre en conformité en leur proposant ses services administratifs !

Carole FEUGA – Estela Solutions (FFMAS Haute Garonne)
Ludovic MICHEL – LUMIS Services (FFMAS Touraine)
Membres de la Commission ESI – FFMAS