Le RGPD en bref

ici votre image

​​​​​​​C’est quoi ?

Le RGPD (Règlement Général sur la Protection des Données) est une législation européenne du 27 avril 2016, applicable au 25 mai 2018. Ses règles ont été intégrées au droit français et a entraîné la révision de la Loi Informatique et Libertés, le 20 juin 2018.


Qui protège-t-il ?

Il protège tout résident de l’UE.


A qui est-il applicable et où ?

Toutes les organisations (entreprises, associations, administrations, collectivités territoriales, etc.) installées dans l’UE doivent appliquer le RGPD. Mais attention, toute organisation hors UE adressant des services et des produits - même gratuits - à des résidents de l’UE doivent s’y conformer aussi.


Ça sert à quoi ?

Le texte vise à harmoniser les droits de tous les États-membres de l’UE sur la protection des données personnelles. Il a ainsi vocation à mieux protéger les personnes en renforçant leurs droits sur leurs données et responsabilise chaque acteur amené à traiter les données.


Pourquoi ce texte ?

La protection des données n’est pas nouvelle, mais l’expansion du numérique et des nouvelles technologies, ainsi que l’exploitation massive des données à des fins commerciales ont conduit le législateur à vouloir :

  • éclairer le citoyen sur l’utilisation de ses données (principes de transparence et loyauté)
  • renforcer la protection de la vie privée (principes de justification légale à traiter des données personnelles, et de proportionnalité entre traitement de la donnée et l’objectif poursuivi)
  • et, face aux risques numériques (cyber attaques, failles…), augmenter la sécurité des données.


Comment nous protège-t-il ?

Le RGPD fait désormais peser sur les organisations la gestion des risques liée à l’utilisation de données personnelles (accountability). Les organisations sont donc responsables et doivent prouver leur conformité aux nouvelles règles. Dans cette même veine, elles doivent aussi notifier toute violation de données personnelles à la CNIL.

Le texte facilite également l’exercice des droits des personnes et les autorités de régulation européennes se sont organisées pour faciliter les recours en cas de non-respect des droits (guichet unique).


Que risque-t-on en cas de non-respect ?

La législation européenne a considérablement alourdi les sanctions. La sanction la plus marquante du panel est financière. Elle peut atteindre suivant la nature des infractions 10 ou 20 millions d’euros, et en cas de chiffre d’affaires très importants, 2 à 4 % du chiffre d'affaires mondial.​​​​​​​

Le RGPD appliqué au groupe Elior

ici votre image


En tant que prestataire de restauration et de services, proposer à ses clients et convives une alimentation saine, préparée et distribuée dans les règles de l’art et conforme aux règlementations en vigueur, est une préoccupation de tous les instants, et un gage de confiance essentiel.

De la même façon, gérer des traitements de données à caractère personnel en conformité à la réglementation sur la protection des données est devenu un enjeu fondamental.

A cette fin, le Groupe a défini une politique de protection des données à caractère personnel applicable à l’ensemble du groupe Elior. Elle fixe les règles pour garantir une approche cohérente de l’ensemble des entités du Groupe.

>>> Règles complémentaires : la filiale du Groupe dans laquelle vous travaillez peut fixer des règles complémentaires afin d’en préciser l’application dans le pays ou le secteur d’activité dans lequel vous évoluez.



​​​​​​​

ici votre image

Les données à caractère personnel et traitements : à lister et cartographier

Le groupe Elior se doit de connaître et maîtriser les traitements de données personnelles réalisés dans le cadre de ses activités, qui concernent ses collaborateurs, ses clients ou encore ses fournisseurs.

Pour cela, le Groupe doit tenir et maintenir dans le temps un registre qui détaille toutes les informations utiles sur les traitements :

ici votre image

On parle souvent de « collecte » de données pour parler de traitement. Mais ce n’est qu’un traitement parmi beaucoup d’autres.

On peut citer l’enregistrement, le copié-collé, l’effacement, la suppression, la modification, la communication, ou encore l’interconnexion.

Si vous procédez à la moindre action sur une donnée personnelle, il y a de grande chance qu’il s’agisse d’un traitement.

Privacy by design : la vie privée d’abord

Il est plus simple de prendre en compte les considérations sur la vie privée et sur la sécurité au plus tôt dans les projets.
​​​​​​​
C’est pourquoi, dès le démarrage d’un nouveau projet, il vous incombe :

  • de prendre en compte la problématique de la protection des données à caractère personnel,
  • et de s’assurer du respect de la vie privée des personnes concernées.

Les grands principes liés au traitement, à respecter

ici votre image

Les traitements des données à caractère personnel doivent remplir un nombre substantiel de conditions pour être conformes :

  • Licéité. Ne traiter de données que si le traitement repose sur une base légale (obligation légale, contrat, consentement de la personne, mission d’intérêt public…).
  • Loyauté et transparence. Les personnes doivent savoir ce que nous faisons de leurs données personnelles. Ce principe fait référence au droit à l’information des personnes.
  • Proportionnalité. Ne traiter de données que pertinentes et strictement nécessaires à la finalité recherchée, et en réduire le nombre au strict nécessaire. Les données doivent êtres exactes, mises à jour et conservées pendant le délai prévu.
  • Sécurité. Les données doivent être sécurisées numériquement et / ou physiquement, qu’elles soient sous format électronique ou papier. Outre un socle de sécurité minimum essentiel, les données doivent être sécurisées selon les risques qui pèsent dessus, et selon les résultats des analyses d’impact sur la vie privée.
    Exemples de mesures :
    - la protection de l’accès des applications par des systèmes d’authentification (identifiant et mot de passe)
    - la gestion des habilitations ( seules les personnes autorisées ont accès à telles données)
    - le chiffrement des données en cas par exemple de stockage ou de transfert.
    >>> Des questions de sécurité ? Visitez ou revisitez la page https://hackingdiner.eliorgroup.net/.

Droits des personnes : donner la possibilité de les exercer

Dès lors qu’une organisation traite de données personnelles, les personnes doivent avoir la possibilité d’exercer leurs droits, notamment :

  • d’accéder aux données à caractère personnel les concernant ;
  • d’en demander la rectification / la mise à jour ;
  • d’en demander l’effacement ;
  • de demander la limitation du traitement des données à caractère personnel ;
  • de s’opposer au traitement des données à caractère personnel.

La réponse à ces demandes doit être apportée sous un délai d’un mois.

L’exercice de ces derniers n’est cependant pas un droit absolu, la demande doit être légitime et doit être étudiée au cas par cas. Il est par exemple possible de refuser à une personne sa demande d’opposition ou de suppression concernant des données de facturation, dont la conservation est indispensable à la facturation et est une obligation légale.

Les risques sur la vie privée à analyser et surveiller

Le Groupe doit mener des analyses d’impacts sur la vie privée qui permettent de répondre à plusieurs questions comme :

  • Le traitement envisagé ou existant peut-il entraîner des impacts négatifs sur les personnes que cela concerne ?
  • Les mesures de sécurité informatique sont-elles adaptées et suffisantes pour protéger ces mêmes données face aux risques du cyberespace, aux failles, aux vols de données ou encore aux cyber attaques ?
  • Les contrats signés avec des prestataires, fournisseurs, clients sont-ils suffisamment protecteurs ?

Les transferts de données hors UE : à encadrer

Avant leur mise en œuvre, les transferts de données dans des pays qui sont à l’extérieur de l’Espace Economique Européen (EEE) doivent être légalement possibles et sécurisés car tous les pays n’ont pas des législations aussi protectrices.

Le transfert de données à caractère personnel doit s’interpréter au sens large ; il peut par exemple s’agir :

  • de transferts de données entre entités juridiques au sein même du groupe Elior ;
  • d’une administration ou maintenance externalisée d’une ressource informatique ;
  • de l’hébergement d’un service dans le cloud.

Les documents associés

Politique de protection-RGPD
PDF - 683 Ko - 10/05/2019 14:54
Protection Policy-GDPR
PDF - 640.9 Ko - 10/05/2019 14:54
Schutzpolitik-DSGVO
PDF - 686.2 Ko - 10/05/2019 14:55
Politica sulla protezione-RGPD
PDF - 658.7 Ko - 10/05/2019 14:55
Política de proteção-RGPD
PDF - 661.1 Ko - 10/05/2019 14:55
Política de protección de datos de carácter personal
PDF - 658.4 Ko - 07/06/2019 16:55