Le 25 mai 2018, le nouveau règlement européen de la RGPD (Règlement Général sur la Protection des Données) sera applicable. De nombreuses formalités auprès de la CNIL (Commission Nationale de l’Informatique et des Libertés) vont disparaître. En contrepartie, la responsabilité des organismes sera renforcée. Ils devront en effet assurer une protection optimale des données à chaque instant et être en mesure de la démontrer en documentant leur conformité.
La RGPD concerne toute entreprise ou tout organisme public dont l’activité amène à collecter des données personnelles. Les auto-écoles sont bien évidemment concernées puisqu’elles collectent un certain nombre de données sur ses clients comme le nom, le prénom, l’adresse, le numéro de téléphone, l’email, l’âge, le sexe… Ces données doivent maintenant être protégées. La CNIL a rédigé un manuel d’aide à la préparation au règlement en 6 étapes.
- Désigner un pilote
Il supervisera tout le traitement des données. Mais celui-ci n’est obligatoire que pour les organismes publics ou les entreprises qui traitent à grande échelle des données dites « sensibles ». Les auto-écoles ne sont donc pas concernées.
- Cartographier le traitement des données personnelles
Les organismes devront tenir une documentation interne complète sur leurs traitements de données et s’assurer qu’ils respectent bien les nouvelles obligations. Il faut donc recenser les différents traitements de données personnelles, les catégories de données personnelles traitées, les objectifs poursuivis par les opérations de traitement de données, les acteurs (internes ou externes) qui traitent ces données, les flux en indiquant l’origine et la destination des données.
Exemple: la secrétaire de l’agence peut avoir besoin, pour le suivi administratif, la facturation, etc. d’avoir accès à l’adresse postale, au numéro de téléphone portable ou à l’adresse email de l’élève… ce qui n’est pas le cas pour un formateur ou une formatrice.
- Prioriser les actions
Une fois le traitement de données commencé, il faut identifier les actions à mener pour se conformer aux nouvelles obligations. La priorisation peut se faire en fonction du risque, de la sensibilité des données. Par exemple, il faut s’assurer que seules les données nécessaires sont collectées, vérifier les mesures de sécurité en place…
- Gérer les risques
Après avoir identifié les risques il faut mener une étude d’impact sur la protection des données. Cette étude permet un traitement des données respectueux de la vie privée, d’évaluer les impacts sur la vie privée des personnes concernées et de prouver que le règlement est respecté.
N.B: le traitement des données étant désormais informatisé (dans la grande majorité des cas), les mesures de sécurité reposent sur les éditeurs de logiciels de gestion. Il conviendra néanmoins de s’assurer également de la sécurité des données collectées sur des supports « papier ».
- Organiser les processus internes
Afin de garantir la meilleure protection des données, des procédures internes doivent être mises en place en prenant en compte tous les événements qui peuvent nuire à leur protection, par exemple des failles de sécurité, un changement de prestataire.
- Documenter la conformité
Afin de prouver la mise en conformité, l’organisme doit constituer un dossier qui permet de démontrer que le traitement des données personnelles est conforme au règlement.
Avec la RGPD, les auto-écoles ont l’obligation de protéger les données de leurs clients, les logiciels utilisés seront mis en conformité par leurs éditeurs, mais il faudra quand même vérifier que c’est le cas. L’auto-école ne devra pas non plus stocker les données ailleurs que chez elle ou alors elle doit choisir un prestataire conforme à la RGPD.
Les élèves auront aussi le droit de récupérer leurs données s’ils le veulent en partant de l’auto-école, on parle de « portabilité des données ». L’auto-école aura l’obligation de leur transférer toutes leurs données de manière sécurisée et devra les supprimer intégralement de ses serveurs.
Quelles sanctions en cas de non-respect de la RGPD ?
D’abord il y aura un avertissement ou une mise en demeure de l’entreprise fautive avec un rappel des règles. Ensuite il y aura une injonction de cesser la violation, dans certains cas une limitation ou une suspension temporaire des traitements de données. Et enfin des sanctions administratives et financières.
Selon la gravité de l’infraction, l’amende serait de l’ordre de 2% du chiffre d’affaire mondial voire 4% pour les infractions les plus graves ou 20 millions d’euros d’amende. Les grandes multinationales risquent donc de très lourdes sanctions en cas de non-respect. Mais celles-ci ont généralement des équipes de juristes et d’experts qui s’assurent que cela n’arrive pas. Cependant le risque est bien plus important pour les petites entreprises ou les associations qui ne savent pas forcément comment s’y prendre…
