Message d'erreur

The selected image "gdpr.jpg" is invalid.

Dossier RGPD : Règlement Général sur la Protection des Données

 

Qu’est-ce que le RGPD ?

À partir du 25 mai 2018, chaque entreprise belge devra respecter les dispositions du Règlement Général sur la Protection des Données (ou RGPD; en anglais : GDPR, General Data Protection Regulation) qui définit, au niveau européen, les nouvelles règles relatives à la protection des données personnelles des citoyens européens. Le RGPD modifiera le fonctionnement de l’entreprise dans les domaines où elle entre en contact avec le traitement de données personnelles, de façon structurelle.

 

Vade-mecum du RGPD pour les employeurs ? Est-ce que le RGPD s’applique aussi à vous ?

Vos principales obligations :

Maintenir un registre des activités de traitement (document modèle Group S : Word ou PDF)

Le RGPD exige que chaque responsable du traitement de données personnelles conserve une documentation interne sur les activités de traitement des données personnelles qui se déroulent sous sa responsabilité.

Vous pouvez travailler avec votre propre modèle ou utiliser le document modèle Group S.

Le registre contient au moins les informations suivantes:

  • Nom et coordonnées du contrôleur
  • Le traitement des données personnelles en référence à
    • Raison du traitement
    • Catégories de personnes impliquées
    • Catégories de données personnelles
    • Destinataires et transfert vers le pays tiers
    • Documents sur les garanties appropriées
  • La période de stockage prévue pour les données
  • Les mesures de sécurité techniques et organisationnelles

Le modèle que Group S met à votre disposition est pré-rempli avec deux exemples de traitement. Il va sans dire que vous devez vous-même vérifier auprès de votre propre entreprise quel traitement des données personnelles a lieu au sein de votre entreprise et que vous devez l'ajouter vous-même au registre
 

Rédiger une politique sur l'application du RGPD au sein de votre entreprise pour chaque employé (document modèle privacy policy Group S : Word ou PDF)

Chaque employé a droit à certaines informations lorsque son employeur traite des données personnelles le concernant et en tire certains droits. Ces informations et ces droits sont décrits dans une politique sur la protection du traitement des données. Cette politique doit être adaptée aux processus propres à l'entreprise et aux données traitées dans celle-ci. Nous vous conseillons de transférer cette police à l'employé contre accusé de réception (un mail avec confirmation de réception est également possible) afin de pouvoir prouver que vous avez informé le salarié de son droit à la vie privée dans le cadre du RGPD et du traitement de ses données personnelles.

Nous recommandons de ne pas inclure cette déclaration de confidentialité dans les règlements de travail. De cette façon, vous pouvez faire évoluer le contenu de ce document sans avoir à ajuster le règlement de travail à chaque fois. En effet, la procédure de modification du règlement de travail est strictement réglementée.

Le document modèle que nous vous fournissons mentionne les informations suivantes :

  • Le responsable du traitement et ses représentants : à compléter dans le document
  • La politique concerne les catégories de données personnelles. Nous avons déjà indiqué par défaut un certain nombre de catégories qui pourraient être applicables. Supprimez ce qui ne convient pas et ajoutez des catégories spécifiques à votre entreprise.
  • Pour les catégories ajoutées, veuillez préciser :
    • la base légale et les raisons du traitement
    • la source des données personnelles

Group S comme sous-traitant externe. Que fait Group S pour être compliant avec le RGPD ?

Group S agit comme sous-traitant des données personnelles de vos travailleurs et doit de ce fait respecter les dispositions du RGPD. Dans le cadre du RGPD, vous (comme responsable du traitement de ces données) souhaitez vous assurez que Group S respecte les dispositions du RGPD. A ce titre, la déclaration de confidentialité décrit de façon détaillée la politique et les engagements de Group S en la matière :

Déclaration de confidentialité de Group S

 

Par ailleurs, Group S a entrepris les actions suivantes :

1. Rédaction d’un code de conduite sectoriel
Au sein du secteur des secrétariats sociaux agréés un code de conduite est établi en ce moment sur l’application du RGPD au niveau sectoriel. Ce code de conduite reprendra les règles communes minimales que chaque SSA respectera en ce qui concerne le RGPD. Group S participe à la confection de ce code de conduite sectoriel et le mettra en œuvre.

2. Adaptation de notre convention d’affiliation
Group S propose une déclaration de confidentialité revue. Cette déclaration reprendra tous les éléments qui donnera au client les garanties nécessaires pour que le traitement des données personnelles de ses travailleurs réponde aux exigences du RGPD.  En conséquence, Group S a adapté sa convention d’affiliation en y incorporant l’annexe suivante :

Annexe à la convention d’affiliation : traitement des données à caractère personnel conformément au RGPD

3. Convention de traitement écrite.
Beaucoup d’entre vous sont déjà occupés de leur côté avec la mise en œuvre du RGPD et proposent eux-mêmes à Group S une propre convention de traitement écrite, voire un questionnaire étendu.

Group S ne peut pas répondre à ce genre de demandes.

Nous mettrons d’abord en œuvre notre code de conduite et une propre adaptation de notre convention d’affiliation et nous partons du principe que cela répond à vos demandes.  Si vous souhaitez néanmoins soumettre une propre convention de traitement ou faire remplir un questionnaire, ces documents peuvent alors être transmis à notre DPO, via l'adresse DPO@groups.be, qui examinera la demande.

Que peut encore faire Group S pour vous ?

1. Group S peut répondre à vos questions  sur la vie privée de vos travailleurs et sur le traitement de leurs données personnelles :

  • L’employeur peut-il filmer ses travailleurs ?
  • Peut -il accéder à la boîte mail d’un travailleur ?
  • Quelles informations peut-il fournir à un huissier de justice ?
  • Doit-il désigner un délégué à la protection des données ?
  • Quelles mentions doit-il reprendre dans son registre des activités de traitement ?

  •  

2. Il peut arriver que vous cherchiez de l’aide pour mettre en œuvre le RGPD au sein de votre entreprise. Ce genre d’aide peut être proposé conjointement avec notre partenaire Wolters Kluwer.
 

Information de l’Autorité de Protection des Données

Vade-mecum pour les PME

Modèle générique d’un Registre des Traitements

FAQs

1. Vous et l'AVG

Qu’est-ce que le RGPD ?

Le RGPD (Règlement Général sur la Protection des Données) ou GDPR en anglais (General Data Protection Regulation) est un règlement européen rédigé par l’Union européenne qui impose des règles aux personnes physiques, entreprises privées et organismes publics afin de protéger les personnes physiques quant à l’usage de leurs données personnelles. L’objectif est de renforcer et d'unifier la protection des données des individus au sein de l’Union européenne.

Il n’est bien entendu pas entièrement nouveau. Bon nombre de ses concepts et principes fondamentaux sont déjà présents dans la directive 95/46/CE et dans l’actuelle loi "Vie Privée" belge du 8 décembre 1992. Donc, celui qui respecte déjà aujourd’hui la législation actuelle pourra prendre cette approche comme point de départ valable pour la mise en œuvre du RGPD.

Mais il y a quand même quelques nouveautés et améliorations sensibles, notamment liées aux droits accordés aux personnes concernées, qui changeront quelque peu l’approche actuelle.

Quand entre-t-il en application ?

Le RGPD est un règlement datant du 14 avril 2016, entré en vigueur le 24 mai 2016 et qui sera applicable au sein de tous les États membres de l’Union européenne à partir du 25 mai 2018.

Que peut faire Group S pour vous aider ?

Group S peut répondre à vos questions sur la vie privée de leurs travailleurs et sur le traitement des données personnelles de leurs travailleurs.

Group S met également à votre disposition des modèles de documents (registre traitement des données et déclaration de confidentialité). Vous pouvez les retrouver sur notre site sur la page dédiée au RGPD.

Si vous souhaitez de l’aide pour mettre en œuvre le RGPD au sein de votre entreprise, nous pouvons vous aider avec le soutien de notre partenaire Wolters Kluwer.

Qui est concerné ?

Ce règlement s’applique au traitement des données à caractère personnel, automatisé en tout ou en partie, relatives à des personnes,  effectué dans le cadre des activités d’un établissement d’un responsable du traitement ou d’un sous-traitant sur le territoire de l’Union.

Toute personne physique, entreprise privée ou organisme public agissant en tant que responsable du traitement ou sous-traitant sur des données à caractère personnel est donc concerné.

Qu’est-ce qu’une donnée à caractère personnel ?

Une donnée à caractère personnel est toute information se rapportant à une personne physique identifiée ou identifiable directement ou indirectement, notamment par référence à  un identifiant tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

Qu’est-ce qu’un responsable du traitement ?

Un responsable du traitement est une personne physique, une entreprise privée ou un organisme public qui détermine les finalités et les moyens du traitement.

Qu’est-ce qu’un sous-traitant ?

Un sous-traitant est  une personne physique, une entreprise privée ou un organisme public qui traite  des données à caractère personnel pour le compte du responsable du traitement.

Quels traitements sont concernés ?

La portée de ce règlement est très large car il concerne tous les traitements, de données à caractère personnel, relatifs aux personnes physiques identifiées ou identifiables (à partir de données codifiées). Par exemple, un traitement qui manipule des données à caractère personnel sur la base de numéros de registre national est concerné par le RGPD, car on peut identifier les personnes concernées à partir de ces numéros.

Seules les données totalement pseudonymisées (ou anonymisées) échappent à ces dispositions. La pseudonymisation des données consiste à attribuer à chaque donnée permettant d’identifier directement ou indirectement une personne physique, une valeur qui garantit le caractère anonyme de celle-ci. Après la pseudonymisation, il n’est plus possible d’identifier une personne sur base des données disponibles.

Qu’est-ce qu’un délégué à la protection des données (DPO – Data Protection Officer) ?

Il s’agit d’une personne clé œuvrant dans le cadre de la mise et du maintien en conformité du RGPD dans l’entreprise. Les missions du délégué à la protection des données sont les suivantes :

- informer et conseiller le responsable du traitement ou le sous-traitant sur les obligations issues du RGPD,

- contrôler le respect du  règlement en matière de protection des données à caractère personnel,

- dispenser des conseils sur la mise en œuvre d’une analyse d’impact,

- coopérer avec l’autorité de contrôle,

- faire office de point de contact pour l’autorité de contrôle.

Le délégué à la protection des données peut être un membre du personnel du responsable du traitement ou du sous-traitant ou une personne externe sur la base d’un contrat de service.

Faut-il nommer un délégué à la protection des données (DPO – Data protection Officer) ?

La nomination d’un délégué à la protection des données n’est pas obligatoire, sauf si :

- le traitement est effectué par un organisme public,

Ou

- les activités de base du responsable du traitement ou du sous-traitant consistent en un suivi régulier et systématique à grande échelle

Ou

- les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement de catégories particulières (origine raciale, opinions politiques, convictions religieuses, appartenance syndicale, données génétiques, données concernant la santé ou l’orientation sexuelle)

Au-delà de cette obligation, il est malgré tout recommandé de nommer une personne de contact responsable qui centralise les différentes demandes ou plaintes à ce sujet et assure la coordination avec l’autorité de contrôle.

Que faut-il faire pour respecter le RGPD ?

Le RGPD implique des changements importants dans l’entreprise afin de garantir la protection des données à caractère personnel des personnes physiques. Il est donc judicieux de désigner une personne ou une équipe qui coordonnera les différentes actions liée à cette matière. En cas de contrôle externe, il faut pouvoir démontrer que l’entreprise a mis en place toutes les mesures nécessaires afin de limiter au maximum les risques de fuite de données.

Les obligations suivantes sont attendues, selon les caractéristiques de l’entreprise :

1. Informer le travailleur,
L’employeur sera tenu de communiquer ces informations aux travailleurs déjà en service, aux nouveaux travailleurs et aux candidats par des séances d’information ou des documents ad hoc (règlement de travail, contrats individuels et conventions).

2. Tenir un registre des traitements,
L’employeur devra établir un registre des activités de traitement et le mettre à jour régulièrement. Ce registre reprendra l’ensemble des processus de traitement et, pour chaque processus, mentionnera les éléments suivants :

  • l’identité du responsable du traitement des données ;
  • les données traitées ;
  • la provenance des données traitées ;
  • la finalité de ce traitement ;
  • qui reçoit les données (ex. : le secrétariat social afin de traiter les salaires) ;
  • le délai de conservation des données ;
  • les mesures de sécurité mises en place.

3. Nommer un délégué à la protection des données,
L’employeur vérifiera s’il est tenu de nommer un délégué à la protection des données. Si c’est le cas, il lui fournira la formation nécessaire et garantira qu’il puisse remplir correctement sa mission.

4. Prévoir les pertes et les fuites de données,
L’employeur devra définir une procédure reprenant les actions qui seront prises en cas de fuite de données. Il devra former les personnes concernées en conséquence et leur préciser leur responsabilité respective, tenir un registre des fuites de données et, dans certains cas, faire une déclaration à l’Autorité de Protection des Données.

5. Veiller au respect du RGPD en externe,
L’employeur devra répertorier les différents sous-traitants qui traitent des données personnelles de personnes actives dans son entreprise et s’assurer qu’ils respectent bien le RGPD.

6. Veiller au respect du RGPD en interne,
L’employeur devra établir une cartographie du traitement, afin d’identifier les contrôles qui sont suffisants et ceux qui doivent être élargis ou approuvés. Cette cartographie pourra ensuite être utilisée pour accorder la gestion du personnel avec les dispositions du RGPD et notamment l’obligation de respecter les droits des travailleurs : droit à l’anonymisation, droit à l’information, droit à l’oubli, droit de rectification, droit à la portabilité, droit d’accès, droit d’opposition, droit de contestation.

Existe-t-il une certification au RGPD ?

Il n’existe pas, à l’heure actuelle, de certification au RGPD, mais cette situation évoluera probablement au cours des prochains mois. Des organismes spécifiques seront alors désignés afin de pouvoir attribuer cette certification.

Quel est le risque en cas de non-respect ?

Ce point constitue une différence majeure par rapport à la situation actuelle, car des amendes sont prévues par la réglementation. En cas de non-respect de la règlementation, des amendes très sévères peuvent être appliquées par l’autorité de contrôle : jusqu’à 4 % du montant du chiffre d’affaires mondial de l’entreprise ou 20 millions d’euros en cas de non-respect.

Quel est le rôle de l’autorité de contrôle ?

L’autorité de contrôle, désignée au sein de chaque État membre, est chargée de surveiller l’application du RGPD afin de protéger les libertés et droits fondamentaux des personnes physiques et de faciliter la libre circulation des données à caractère personnel au sein de l’Union.

C’est l’autorité de contrôle qui décidera de l’application d’éventuelles amendes en cas de non-respect de la réglementation.

Qui est l’autorité de contrôle ?

Chaque État membre désigne sa propre autorité de contrôle. En Belgique, la Commission de Protection de la Vie Privée (CPVP) change de nom et devient l’Autorité de Protection des Données (APD).

Que devient la Commission de protection de la vie privée ?

La Commission de Protection de la Vie Privée (CPVP) change de nom et devient l’Autorité de Protection des Données (APD), chargée d’assurer le rôle d’autorité de contrôle.

Qu’est-ce qu’une fuite des données ?

Une fuite de données est une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données.

Que faut-il faire en cas de fuite de données ?

Lorsqu’une violation de données se produit, elle doit, sous certaines conditions, être communiquée dans les 72 heures à l’autorité de contrôle. Vous pouvez utiliser les formulaires suivants pour :

Si Group S constate lui-même une fuite de données, il vous informera aussi rapidement que possible de cet incident, sur base de la procédure interne.

 

Que va-t-il se passer à partir du 25 mai 2018 ?

Le 25 mai 2018 sera la date de mise en application du règlement. A priori, dès cette date, le responsable du traitement et le sous-traitant sont susceptibles de se voir appliquer des amendes pour non-conformité.

Néanmoins, toutes les entreprises ne pourront démontrer à 100 % leur conformité au règlement. La présence d’un plan d’action coordonné au sein de l’entreprise permettra d’avancer auprès de l’autorité de contrôle, les arguments assurant de l’engagement de l’entreprise en la matière.

L’effort amorcé depuis 2 ans se poursuivra bien au-delà de cette date. Il faut considérer qu’il s’agira d’un investissement permanent indispensable qu’il faudra pérenniser par des actions quotidiennes en la matière, que ce soit lors de la mise en place de nouveaux traitements, de nouvelles procédures, de nouvelles technologies, voire de nouveaux marchés.

2. Group S et l'AVG

Que fait Group S par rapport au RGPD ?

De nombreuses actions ont été menées depuis de longs mois par Group S afin de se conformer à la nouvelle réglementation :

  • information aux travailleurs,
  • nomination d’un DPO,
  • mise en œuvre d’un registre des traitements permettant de cartographier tous les processus qui traitent de données à caractère personnel,
  • révision des contrats existants avec nos sous-traitants pour s’assurer de leur conformité avec le RGPD,
  • participation à l’élaboration d’un code de conduite sectoriel reprenant les règles communes minimales que chaque SSA respectera en ce qui concerne le RGPD,
  • adaptation de notre convention d’affiliation et de notre déclaration de confidentialité. Cette déclaration reprendra tous les éléments qui vous donneront les garanties nécessaires pour que le traitement des données personnelles de ses travailleurs réponde aux exigences du RGPD. 

Cette déclaration de Group S formera une annexe à notre convention d’affiliation et sera mis à disposition en mai,

- application de la garantie des droits des personnes concernées,

- mise en place de procédures internes en cas de fuite de données.

Group S est-il responsable du traitement ?

Dans le cadre de sa mission habituelle de secrétariat social, Group S agit en tant que sous-traitant. Le responsable du traitement demeure l’employeur qui nous délègue l’administration des salaires, l’application des lois sociales, la déclaration aux organismes, le suivi des paiements, …

Dans le cadre d’activités pour lesquelles Group S détermine lui-même les finalités et les  moyens de traitement, il sera considéré comme responsable du traitement.

Est-ce que Group S respecte le RGPD ?

En tant qu’acteur important dans le secteur des secrétariats sociaux Group S a pris les mesures nécessaires pour mettre en application les dispositions du RGPD.

Comme il n’existe pas de certification officielle, Group S a établi un plan d’actions complet permettant de vérifier que les procédures internes respectent la réglementation et de mettre en évidence les domaines pour lesquels des actions spécifiques doivent être entreprises. La réalisation de ce plan est en cours.

Une validation des différents documents adaptés dans le cadre du RGPD est prise en charge par un cabinet d’avocats spécialisé en la matière.

Par ailleurs, Group S dispose de la certification ISAE 3402 type II qui démontre une garantie de fiabilité et de qualité des contrôles internes de ses prestations de service.

Group S a-t-il désigné un DPO ?

Oui, une personne interne à Group S a été désignée afin d’assurer la coordination des différentes actions pour la mise en place du RGPD dans l’entreprise et pour être la personne de contact en matière de sécurisation des données à caractère personnel.

Où sont conservées les données traitées par Group S ?

Group S assure lui-même la gestion et l’archivage des données nécessaires à l’exercice de sa mission. Tous les serveurs sur lesquels ces données sont stockées se trouvent en Belgique sur les différents sites informatiques de Group S.

Faut-il signer un nouveau contrat avec Group S ?

Non. Group S a adapté, par le biais d’une annexe, sa convention d’affiliation afin d’y inclure les mentions requises par le RGPD. Par ailleurs, la déclaration de confidentialité reprendra tous les éléments qui vous donneront les garanties nécessaires pour que le traitement des données personnelles de vos travailleurs réponde aux exigences du RGPD.

Group S peut-il signer votre Data Processing Agreement ?

Nous ne pouvons répondre individuellement à plus de 20 000 demandes potentielles issues de nos clients, concernant la signature d’un Data Processing Agreement. Comme les conditions générales de Group S précisent que ses clients doivent respecter les conditions reprises dans leur convention d’affiliation, nous avons rédigé une annexe à cette convention, applicable à tous nos affiliés et qui précise notre engagement pour respecter les clauses imposées par le RGPD.

Group S peut-il transférer des données à un tiers, selon vos attentes ?

Lorsque vous souhaitez que Group S transfère des données personnelles vers un tiers, il y a lieu de donner un  mandat explicite à Group S pour pouvoir le faire, conformément à l’article 5.3 de l’annexe à la convention d’affiliation. Ce sera aussi à vous, en tant que responsable du traitement, de vous assurer que les personnes dont les données personnelles sont transférées à ce tiers soient au courant de ce transfert et que ce tiers respecte toutes les règles relatives à la protection des données personnelles, mentionnées dans le RGPD.

Afin de vous faciliter la tâche dans cette démarche administrative, Group S met à votre disposition un formulaire qui vous permet de le mandater dans cette mission.