A partir d’aujourd’hui, un nouveau texte de loi, le Règlement général sur la protection des données personnelles (RGPD) va redistribuer les cartes de l’économie numérique au sein de l’Union européenne. Objectif : inciter les entreprises à être davantage vigilantes dans l’exploitation des données (traitement, gestion, stockage). Qu’est-ce que cela va changer pour les PME du transport routier ?
La campagne d’information est en marche depuis 2016 dans les grands groupes mais à la veille de l’entrée en vigueur du Règlement général sur la protection des données personnelles (RGPD), les fédérations professionnelles (FNTR, Union TLF, OTRE, Unostra) poursuivent le travail de sensibilisation et répondent encore aux questions de leurs adhérents. L’heure est à la mise en conformité sous peine de sanctions (amendes administratives) pouvant aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial de l’exercice précédent. Fait marquant, c’est la Commission nationale de l’informatique et des libertés (Cnil), autorité de régulation française, qui est en première ligne dans la mise en œuvre de ce règlement européen. La publication de contenus mise en ligne comme le guide pratique conçu par la CPME et la CNIL (voir document en pièces jointes) a le mérite de lister les obligations à respecter.
Reste que les fédérations professionnelles poursuivent les opérations de pédagogie pour coller à la spécificité des métiers du TRM. Union TLF a œuvré au sein de sa commission « Digital » et a organisé un « Digital Day » en février dernier. La fédération s’apprête à proposer aux transporteurs les services de consultants habilités à fournir une méthodologie de mise en conformité spécifique aux métiers de la route et de la logistique. De son côté, la FNTR a poussé les feux avec son groupe de travail « Digital et Transition numérique » et son réseau régional. « Nos syndicats en région disposent d’un annuaire de référents territoriaux comme, par exemple, l’annuaire de la gendarmerie, observe Elisabeth Charrier, déléguée aux régions à la FNTR. Nous avons aussi sollicité la fédération des syndicats des métiers de la prestation intellectuelle, du conseil, de l’ingénierie et du numérique (CINOV) pour tous les aspects techniques en particulier les missions du délégué à la protection des données (DPO). » A priori, la mise en conformité au RGPD paraît simple. On peut d’ailleurs faire le parallèle avec l’instauration du document unique en 2001. Toutefois, le process risque d’être plus compliqué au sein des TPE parce que la législation est parfois méconnue et que le traitement et la gestion des données n’est pas toujours une priorité.
Transparence et cartographie des données. Les données sont au cœur de l’économie européenne depuis bien plus longtemps que les ordinateurs. Ce n’est pas un hasard s’il a fallu plus de 4 ans de labeur à l’eurodéputé allemand Jan-Philipp Albrecht pour élaborer le RGPD. Désigné en 2012 par la Commission européenne pour être le négociateur en chef de ce projet d’envergure, cet écologiste classé à gauche a supervisé la fabrication d’une loi qui a fait l’objet de plus de 4000 propositions d’amendements enregistrés. Adopté le 14 avril 2016, le règlement se décompose en 47 articles lesquels harmonisent les règles européennes et offrent un cadre juridique unique aux professionnels.
Tout organisme ou entreprise traitant des données de résidents européens est concerné. Le RGPD impose aux entreprises de plus de 250 salariés de se doter d’un délégué à la protection des données (« data protection officer », DPO), chargé de piloter le processus de mise en conformité. A défaut de désigner un DPO, les PME doivent consigner toute information recueillie sur quelqu’un dans un registre des données personnelles. Il leur faut aussi réaliser l’inventaire de leurs données (chronotachygraphe, paie, fichier clients et prospects) et s’assurer que le traitement qu’elles en font respectent la loi. Fait marquant, les données doivent être stockées de façon sécurisées dans la mesure où l’entreprise doit avoir identifié et maîtrisé les risques potentiels d’une cyberattaque. Il lui appartient de sensibiliser les salariés sur la question. A l’évidence, le transporteur ne sera pas responsable s’il se fait pirater. Le RGPD renforce enfin les moyens de traçabilité et impose d’indiquer à tout client que des informations sont conservées à son sujet et dans quel but. Son consentement doit donc être recueilli au préalable. A noter que le client peut exiger à tout moment leur suppression ou au contraire de les récupérer pour les communiquer y compris à une entreprise concurrente ; c’est le droit à la portabilité, véritable nouveauté du RGPD.
Les semaines qui suivront la date butoir du 25 mai seront décisives pour évaluer le process. La Cnil, véritable gendarme, fera preuve de discernement par rapport aux nouveautés du règlement comme le droit à la portabilité ou la réalisation d’analyses d’impact sur la protection des données. Mais cela ne veut pas dire qu’il y aura un moratoire dans la mise en place du RGPD.
Louis Guarino
Les nouvelles obligations à respecter
- Tenir un registre de traitement des données
L’entreprise doit tenir un registre interne offrant une vision d’ensemble claire de toutes les données qu’elle traite. Cela concerne les données des fichiers de clients, de salariés ou de fournisseurs, les coordonnées de prospect obtenues par un questionnaire. L’entreprise doit recenser toutes les opérations entraînant une collecte de données (gestion de paye, RH, livraison client ) et indiquer la finalité de la collecte, les catégories de données utilisées ; quelles personnes y accèdent, combien de temps elles sont conservées.
- Nommer un délégué à la protection des données
Seules les entreprises de plus de 250 salariés sont contraintes de désigner un délégué à la protection des données (« Data Protection Officer », DPO). Le DPO peut aussi être externalisé. Attention toutefois aux démarchages abusifs qui jouent sur le « marketing de la peur ».
- Information et transparence sur les données
A chaque fois que l’entreprise collecte des données sur une personne, elle doit l’en informer, lui préciser la finalité, le fondement juridique qui l’autorise à traiter ces données, qui peut y accéder, leur durée de conservation et si elles peuvent être transférées hors de l’Union européenne. Cela concerne à la fois les clients, les salariés et les prestataires.
- Droit à la portabilité des données
Ce droit est une véritable nouveauté du RGPD. Il permet à une personne de récupérer ses données soit pour son usage personnel, soit pour les confier à un service concurrent. Il s’impose à tous les fournisseurs de services et doit être réalisé dans un format interopérable.
- Notifier la violation des données personnelles
Les entreprises ont l’obligation de reporter toute violation de données personnelles à la Cnil. Ce signalement doit s’effectuer dans les 72 heures et se fait en ligne sur le site de Cnil. Cette notification s’ajoute aux mesures techniques pour garantir au mieux la sécurité des données (mises à jour des logiciels, antivirus, gestion des mots de passe etc…)
- Etude d’impact sur la protection des données à risque
Les entreprises dont l’activité a des conséquences particulières sur des personnes (télésurveillance) ou celles transférant des données en dehors de l’Union européenne ont des obligations supplémentaires. Elles doivent conduire, a priori, une analyse d’impact sur la protection des données afin d’identifier les risques spécifiques à ces données.
Lire dans son intégralité le guide pratique : CPME : RGPD, comment faire ?
Ça peut (aussi) vous intéresser
rebillon@trm24.fr
- Un ancien Volvo à la tête d’Iveco Group - 23 avril 2024
- MAN accélère le développement de camions autonomes - 23 avril 2024
- Thermo King et Mercedes-Benz s’associent - 23 avril 2024
