C’est quoi ?
Le RGPD (Règlement Général sur la Protection des Données) est une législation européenne du 27 avril 2016, applicable au 25 mai 2018. Ses règles ont été intégrées au droit français et a entraîné la révision de la Loi Informatique et Libertés, le 20 juin 2018.
Qui protège-t-il ?
Il protège tout résident de l’UE.
A qui est-il applicable et où ?
Toutes les organisations (entreprises, associations, administrations, collectivités territoriales, etc.) installées dans l’UE doivent appliquer le RGPD. Mais attention, toute organisation hors UE adressant des services et des produits - même gratuits - à des résidents de l’UE doivent s’y conformer aussi.
Ça sert à quoi ?
Le texte vise à harmoniser les droits de tous les États-membres de l’UE sur la protection des données personnelles. Il a ainsi vocation à mieux protéger les personnes en renforçant leurs droits sur leurs données et responsabilise chaque acteur amené à traiter les données.
Pourquoi ce texte ?
La protection des données n’est pas nouvelle, mais l’expansion du numérique et des nouvelles technologies, ainsi que l’exploitation massive des données à des fins commerciales ont conduit le législateur à vouloir :
Comment nous protège-t-il ?
Le RGPD fait désormais peser sur les organisations la gestion des risques liée à l’utilisation de données personnelles (accountability). Les organisations sont donc responsables et doivent prouver leur conformité aux nouvelles règles. Dans cette même veine, elles doivent aussi notifier toute violation de données personnelles à la CNIL.
Le texte facilite également l’exercice des droits des personnes et les autorités de régulation européennes se sont organisées pour faciliter les recours en cas de non-respect des droits (guichet unique).
Que risque-t-on en cas de non-respect ?
La législation européenne a considérablement alourdi les sanctions. La sanction la plus marquante du panel est financière. Elle peut atteindre suivant la nature des infractions 10 ou 20 millions d’euros, et en cas de chiffre d’affaires très importants, 2 à 4 % du chiffre d'affaires mondial.
En tant que prestataire de restauration et de services, proposer à ses clients et convives une alimentation saine, préparée et distribuée dans les règles de l’art et conforme aux règlementations en vigueur, est une préoccupation de tous les instants, et un gage de confiance essentiel.
De la même façon, gérer des traitements de données à caractère personnel en conformité à la réglementation sur la protection des données est devenu un enjeu fondamental.
A cette fin, le Groupe a défini une politique de protection des données à caractère personnel applicable à l’ensemble du groupe Elior. Elle fixe les règles pour garantir une approche cohérente de l’ensemble des entités du Groupe.
>>> Règles complémentaires : la filiale du Groupe dans laquelle vous travaillez peut fixer des règles complémentaires afin d’en préciser l’application dans le pays ou le secteur d’activité dans lequel vous évoluez.
Le groupe Elior se doit de connaître et maîtriser les traitements de données personnelles réalisés dans le cadre de ses activités, qui concernent ses collaborateurs, ses clients ou encore ses fournisseurs.
Pour cela, le Groupe doit tenir et maintenir dans le temps un registre qui détaille toutes les informations utiles sur les traitements :
On parle souvent de « collecte » de données pour parler de traitement. Mais ce n’est qu’un traitement parmi beaucoup d’autres.
On peut citer l’enregistrement, le copié-collé, l’effacement, la suppression, la modification, la communication, ou encore l’interconnexion.
Si vous procédez à la moindre action sur une donnée personnelle, il y a de grande chance qu’il s’agisse d’un traitement.
Il est plus simple de prendre en compte les considérations sur la vie privée et sur la sécurité au plus tôt dans les projets.
C’est pourquoi, dès le démarrage d’un nouveau projet, il vous incombe :
Les traitements des données à caractère personnel doivent remplir un nombre substantiel de conditions pour être conformes :
Dès lors qu’une organisation traite de données personnelles, les personnes doivent avoir la possibilité d’exercer leurs droits, notamment :
La réponse à ces demandes doit être apportée sous un délai d’un mois.
L’exercice de ces derniers n’est cependant pas un droit absolu, la demande doit être légitime et doit être étudiée au cas par cas. Il est par exemple possible de refuser à une personne sa demande d’opposition ou de suppression concernant des données de facturation, dont la conservation est indispensable à la facturation et est une obligation légale.
Le Groupe doit mener des analyses d’impacts sur la vie privée qui permettent de répondre à plusieurs questions comme :
Avant leur mise en œuvre, les transferts de données dans des pays qui sont à l’extérieur de l’Espace Economique Européen (EEE) doivent être légalement possibles et sécurisés car tous les pays n’ont pas des législations aussi protectrices.
Le transfert de données à caractère personnel doit s’interpréter au sens large ; il peut par exemple s’agir :
English
Español
Italiano
Portuguesa
