Le RGPD est-il vital pour les structures de services à la personne ?
Dans les structures de services à la personne, la collecte de données personnelles, voire sensibles, est particulièrement dense et indispensable à l’activité. Il est donc stratégique pour chaque structure de bien négocier l’arrivée du nouveau Règlement Général sur la Protection des Données (RGPD), qui entrera en application le 25 mai 2018.
Étant donné la complexité du sujet, nous vous proposerons différents articles pour vous aider à vous préparer et à suivre l’évolution des bonnes pratiques.
Inscription Webinars
A chaque étape jusqu’au 25 mai, nous proposons un webinar pour reprendre les points importants et voir des exemples concrets d’application à mettre en pratique dans votre structure de services à la personne.
Pour commencer, faisons un point de rappel sur ce qu’est le RGPD, et ses principales applications.
Qu’est-ce que le RGPD?
Le RGPD est un règlement européen qui a été publié en mai 2016, au terme de 4 longues années de négociations. Il entrera en application dans tous les États Membres de l’UE, sans qu’il y ait besoin de transposition dans le droit national. Le texte original est accessible en français sur le site EUR-Lex.
La collecte de données a considérablement évolué depuis la directive 95/46/CE publiée en 1995, qui avait notamment servi de base à notre loi Informatique et Libertés. Partant de ce constat, le nouveau texte devait prendre en compte les nouvelles pratiques, liées en particulier à la transformation numérique.
Plusieurs objectifs sont déclarés :
– Renforcer le droit des citoyens européens à garder le contrôle sur leurs données personnelles
– Responsabiliser les structures utilisant ces données
– Uniformiser la législation au niveau européen sur ces points
En résumé, des principes tels que la portabilité des données et le droit à l’oubli – qui existent déjà dans le droit français – seront étendus. En parallèle, de nouvelles mesures entreront en vigueur, comme par exemple l’effacement automatique des données lorsqu’elles ne sont plus utilisées, ou encore la tenue d’un registre des traitements, qui recense toutes les données collectées ainsi que leur finalité. Nous consacrerons un article très prochainement au détail de ces mesures.
Comment définir une donnée personnelle ?
Dans les services à la personne, la protection des données dites « sensibles » est déjà un sujet connu, notamment pour les services liés à la dépendance et à l’enfance. Pour les structures qui ont déjà fait des efforts dans le traitement et la sécurisation de ces données, l’arrivée du RGPD sera moins difficile.
Cependant, le RGPD élargit nettement le champ des données personnelles à « toute information se rapportant à une personne physique identifiée ou identifiable ». Le texte précise même un peu plus le caractère de ces données : « un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou […] un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale. »
Dans un certain nombre de cas, la donnée seule ne permettra pas d’identifier une personne. Mais elle est tout de même considérée comme personnelle si, associée à une autre donnée, elle permet l’identification. Dans les services à la personne, cela représente donc la quasi-totalité des données concernant les clients ou les bénéficiaires. C’est ainsi que toutes les structures vont devoir repenser leur gestion des données pour se mettre en conformité.
Toutes les structures sont-elles concernées ?
Dans le texte du règlement, il est précisé qu’il s ’applique à toutes les entités privées ou publiques des 28 Etats Membres de l’Union Européennes et étrangères, qui remplissent ces conditions :
– Proposer des biens et des services sur le marché européen
– Collecter et traiter des données personnelles sur des résidents de l’UE
Cela signifie que le règlement ne se limite pas aux entreprises, mais concerne aussi les organismes publics et les associations, et ce quelle que soit leur taille. Pour faire simple, toutes les structures de services à la personne sont soumises au RGPD.
Il est important de préciser que chaque entité est également co-responsable sur les données collectées par ses sous-traitants, dans la mesure où elle y accède ou les utilise. Par exemple, lors de l’envoi d’un e-mail à partir d’une base louée, la structure doit s’assurer auprès de son sous-traitant que les données contenues dans la base ont été collectées et traitées conformément au RGPD.
Cas particulier : le B2B
Le texte n’est pas facile à interpréter sur l’utilisation des données en B2B : ceci a donné lieu à de nombreuses conjectures.
Le règlement précise que les données concernant les personnes morales sont exclues (SIRET, adresse par exemple). En revanche, les données concernant les personnes physiques représentant cette personne morale, seraient soumises au règlement (rien ne mentionnant le contraire). Par exemple, les informations contenues dans une carte de visite devraient être considérées comme des données personnelles.
Des précisions seront peut-être apportées dans les mois à venir. En attendant, il est fortement conseillé de traiter les données des personnes physiques en B2B, de la même manière qu’en B2C.
Quels sont les risques en cas de manquement ?
Pour inciter les structures à prendre le sujet à bras le corps, l’Union Européenne a décidé de fixer des sanctions fortes en cas de manquement. Le montant des amendes qui pourront être appliquées est défini dans le règlement : jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial !
Cependant, ce ne doit pas être la source de motivation principale pour les structures. Tout d’abord, les particuliers sont eux-mêmes de plus en plus demandeurs quant à la protection de leurs données. Dans les services à la personne, la relation de confiance est primordiale. Ils attendent donc de la part des entreprises et associations, qu’ils puissent les rassurer sur ce point.
D’autre part, cela peut représenter un avantage face à des confrères ou des concurrents qui ne seraient pas encore en conformité. Il serait dommage de passer à côté d’opportunités de développement !
Ximi, en tant que partenaire, est sur le pont pour vous accompagner sur la préparation et la mise en œuvre des mesures liées au RGPD. Xelya (maison-mère de Ximi), en interne, se prépare en faisant évoluer son Projet pour l’implémentation d’un Système de Management de la Sécurité de l’information ainsi que sa Politique de Sécurité du Système d’Information en y ajoutant de nouveaux objectifs permettant de démontrer sa conformité par rapport au RGPD.
Nous vous tiendrons régulièrement informés de nos nouveautés, et de conseils pour aborder sereinement cette mise en place.
La recette du RGPD appliquée aux services à la personne
Attention : toutes nos communications et notre accompagnement ont vocation à vous aider mais ils ne sauraient se substituer aux conseils d’un professionnel sur le sujet. Nous ne garantissons pas que ce que nous communiquons est exhaustif. Suivre nos conseils ne saurait garantir une conformité au RGPD qui relève in fine du responsable du traitement.