La CNPD, en collaboration avec le Luxembourg House of Cybersecurity, National Cybersecurity Competence Center (ci-après le « LHC-NC3 »), a pour ambition, dans le cadre du projet « dAta Protection compLiance supporT tOolkit » (ci-après le « Projet ALTO »), de répondre aux défis des start-Ups et des petites et moyennes entreprises établies sur le territoire du Grand-Duché de Luxembourg (ci-après les « PME ») dans le cadre de la mise en conformité au RGPD.
L’objectif du projet ALTO est de fournir aux PME un outil d’auto-évaluation simple, intuitif et gratuit permettant à ces dernières d’intégrer les obligations RGPD dans le cadre de leur activité. L’accent sera mis notamment sur les principes fondamentaux prévus par le RGPD ainsi que le renforcement du respect des droits des individus dans le cadre des traitements de données personnelles envisagés et en cours. ALTO s’adresse à toutes les PME devant se conformer au RGPD, tant en qualité de responsable de traitement que de sous-traitant.
La volonté de la CNPD est d’accompagner les PME dans l’évaluation, la maturité ainsi que le maintien de leur mise en conformité au RGPD. La mise en conformité permettra à ces acteurs majeurs de l’économie nationale d’améliorer leur transparence et ainsi de consolider la confiance des consommateurs.
Pour assurer la réalisation du projet ALTO, la CNPD s’est naturellement associée avec le LHC-NC3 lequel a déjà démontré un fort intérêt pour la sensibilisation des PME en matière de cyber sécurité et de respect de la vie privée, au travers de ses outils Fit4Cybersecurity et Fit4Privacy.
ALTO sera un outil d’auto-évaluation qui pourra également être répliqué au niveau des autres états membres dans la mesure où il repose sur des logiciels open-source et le RGPD, règlement européen d’application uniforme pour l’ensemble des PME établies sur le territoire de l’Union européenne. . A ce titre, ALTO est un projet retenu par l’Union européenne dans de le cadre de l’appel à projet lancé en 2021 à destination des autorités nationales de protection des données et ayant vocation à soutenir l'engagement des citoyens, l'égalité pour tous et la mise en œuvre des droits et des valeurs de l'UE (pour en savoir plus, cliquer ici).
Suis-je concerné par le RGPD ?
Toutes les entreprises quels que soient la taille et le type d’activité, y compris les PME, sont concernées par le Règlement européen sur la protection des données (RGPD) :
- si elles collectent, stockent, utilisent des données à caractère personnel.
Dans ce cas, les entreprises sont "responsables de traitements".
- si elles traitent des données à caractère personnel pour le compte d'autres organismes.
Dans ce cas, les entreprises sont "sous-traitantes".
Pour les PME, quelques exigences sont plus souples, en particulier en ce qui concerne la désignation d’un délégué à la protection des données.
En savoir plus : La CNPD propose un guide préparation en 7 étapes pour aider les organisations à se conformer au RGPD.
Qu’est-ce qu’un responsable du traitement et un sous-traitant ?
Le responsable du traitement est l’entreprise ou l’entité qui décide pourquoi ou dans quel but des données à caractère personnel sont collectées et utilisées et comment ces données à caractère personnel sont traitées. Autrement dit, le responsable décide des finalités et des moyens des traitements de données.
Lorsque deux entreprises décident conjointement des moyens et des finalités, elles sont responsables conjoints. Les responsables conjoints doivent déterminer qui assumera les obligations à l’égard des personnes concernées et ils doivent aussi le porter à la connaissance des personnes concernées.
Le sous-traitant est une entreprise ou une autre entité qui traite des données à caractère personnel uniquement et exclusivement pour le compte et sur instruction d’une autre entreprise. À noter qu'un responsable du traitement qui désigne un sous-traitant doit signer un contrat de sous-traitance.
Un sous-traitant doit-il également respecter le RGPD ?
Les sous-traitants, c’est-à-dire les personnes ou organismes qui traitent des données pour le compte d’un responsable de traitement dans le cadre d’un service ou d’une prestation, doivent respecter le RGPD, au même titre que les responsables de traitement.
En savoir plus : L’EDPB (European Data Protection Board) propose des lignes directrices sur les concepts « Responsable de traitement » et « Sous-traitant » dans le contexte du RGPD.
Comment assurer le respect des droits des personnes ?
Le RGPD prévoit des droits spécifiques pour les personnes que vous devez respecter, en particulier :
- En informant les personnes lors de la collecte des données personnelles par des mentions à inscrire sur les contrats de travail, sur les formulaires et/ou questionnaires, qui peuvent notamment renvoyer vers une politique de protection des données ;
- En répondant aux demandes d’exercice des droits des personnes dont vous traitez les données, à savoir, entre autres : le droit d’accès, de rectification, d’opposition, d’effacement, qu’il s’agisse de clients, de collaborateurs et/ou de prestataires.
Les entreprises transparentes quant à leur utilisation des données personnelles et respectant les droits des personnes sont moins susceptibles de soulever des critiques (par exemple sur les réseaux sociaux) ou d’être exposées à des réclamations auprès de la CNPD.
En savoir plus : La CNPD a mis en ligne une brochure ainsi qu’un site dédié qui répond aux questions fréquemment posées.
Les PME doivent-elles désigner un délégué à la protection des données (ci-après le « DPO »)?
Une PME, tant en qualité de responsable du traitement que de sous-traitant, doit obligatoirement désigner un DPO si ses tâches consistent principalement à surveiller de manière régulière et systématique et à grande échelle des personnes concernées et/ou à traiter des données à caractère personnel « sensibles » à grande échelle.
Dans tous les cas où la désignation n’est pas obligatoire, il est recommandé de désigner un DPO.
Qui peut assurer le rôle de DPO ?
Un salarié interne à une PME ayant des connaissances suffisantes du RGPD si les tâches professionnelles du salarié sont compatibles avec celles de DPO et si cela ne donne pas lieu à des conflits d’intérêts, ou bien une personne externe. Le DPO doit en tout état de cause pouvoir effectuer ses tâches de manière indépendante et doit pouvoir rapporter directement au niveau le plus élevé de la direction.
En savoir plus : La CNPD a mis en ligne un formulaire de déclaration ainsi qu'un site dédié qui répond aux questions fréquemment posées.
Les PME doivent-elles tenir un registre des activités de traitement ?
Toute entreprise qui traite des données à caractère personnel – sauf exception reprise ci-dessous – doit en principe tenir un registre des activités de traitement pour toutes les activités de traitement qui relèvent de sa responsabilité. Ce registre est une sorte d’inventaire de tous les traitements et est utile pour évaluer correctement les obligations du RGPD et les risques éventuels.
À noter que pour les entreprises qui emploient moins de 250 personnes, un registre n’est toutefois pas requis. La portée de cette exception est toutefois limitée, étant donné qu’elle ne s’applique pas s’il est question de traitements à risques, de traitements de données sensibles ou de traitements intégrés dans le fonctionnement quotidien de l’entreprise comme la gestion du personnel, des clients et des fournisseurs.
En toute état de cause, chaque entreprise doit évaluer régulièrement tous les traitements et au besoin, compléter ou adapter le registre des activités de traitement.
En savoir plus : La CNPD a mis en ligne un site dédié qui répond aux questions fréquemment posées.