Le RGPD s’applique-t-il aux sociétés de moins de 250 salariés ?

Par Fabien Honorat

Le Règlement Communautaire sur la Protection des Données Personnelles va entrer en vigueur le 25 mai prochain. Il vient changer en profondeur la façon dont les entreprises doivent gérer les traitements des données personnelles qu’elles sont amenées à mettre en œuvre pour leur propre compte ou pour le compte de tiers.

 

Le règlement met en place des contraintes organisationnelles, contractuelles et informationnelles.

 

La principale charge pour les entreprises consiste en la cartographie de l’intégralité des fichiers traités par l’entreprise et la mise en place d’un registre des traitements regroupant l’ensemble (article 30 du RGPD).

 

Ce registre doit être mis à jour, maintenu et servir de référentiel.

 

Cette obligation est valable tant pour le responsable du traitement que pour le sous-traitant qui doit gérer, collecter, traiter des données personnelles pour le compte de son client.

 

Le registre tenu par un responsable de traitement pour ses propres fichiers doit comporter : l’identification du responsable du traitement, la ou les finalités du traitement, une description des catégories de personnes concernées, la ou les catégories de données traitées, les destinataires des données, le cas échéant les transferts vers un pays tiers hors Espace Economique Européen, les délais de conservation des données (dans la mesure du possible), une description générale des mesures de sécurité techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins (dans la mesure du possible).

 

Pour les sous-traitants les informations sont moindres : l’identification du sous-traitant et du responsable du traitement, les catégories de traitement, le cas échéant, les transferts de données à caractère personnel vers un pays hors Espace Economique Européen, une description générale des mesures de sécurité techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins (dans la mesure du possible).

 

Toutefois le RGPD précise que cette obligation ne s’impose pas aux structures de moins de 250 salariés à moins que :

 

– Le traitement comporte un risque pour les droits et les libertés des personnes concernées (en fonction de la nature, de la portée, du contexte et des finalités du traitement. Par exemple : évaluation, notation, profilage des personnes ; surveillance systématique ; traitement à grande échelle de données ; données de personnes vulnérables – enfants, salariés, personnes âgées …- ; traitement impliquant une technologie innovante),

 

– Le traitement n’est pas occasionnel,

 

ou

 

– Le traitement porte sur des données sensibles (origine raciale, opinions politiques, orientation sexuelle, convictions religieuses, appartenance syndicale, données génétiques ou biométriques, données de santé, condamnation pénale).

 

Pour une société, le traitement des données de ses salariés, de ses clients et fournisseurs sont des traitements habituels et même les structures de moins de 250 salariés devront pour ces traitements mettre en œuvre un registre.

 

En revanche, le sous-traitant qui a moins de 250 salariés et qui assure la gestion ponctuelle pour le compte d’un client d’un fichier n’ayant pas d’impact majeur sur les droits et libertés des personnes (par exemples les adresses postales pour un mailing, les coordonnées des consommateurs pour une opération promotionnelle, diffusion par un site de commerce électronique de publicités impliquant un profilage limité basé sur les articles visualisés ou achetés sur le site internet …) ne sera a priori pas soumis à l’obligation de constituer un registre pour ce type de traitement.

 

Pour le reste les obligations prévues par le RGPD (informationnelles, sécurisation des données, minimisation et proportionnalité des traitements…) s’appliquent quelle que soit la taille de la structure.

 

La CNIL devrait toutefois être amenée à préciser le cadre d’application de cette nouvelle réglementation.