RGPD-GDPR synthèse pour fichiers clients-prospects-RH salariés (Règlement UE 2016/679 « données personnelles »)

[5 décembre 2017] Nombreux sont les professionnels qui se posent des questions pour leurs fichiers clients-prospects-RH salariés. Certains comme les membres du COMEX de Kaufman & Broad se posent les questions au bon moment… A moins de 6 mois maintenant de l’entrée en vigueur de la GDRP-RGPD, il reste du temps pour identifier les bonnes pratiques que la DSI va devoir implémenter… Alors, une petite révision pratique de ce qu’il va falloir faire pour ses fichiers clients-prospects-RH salariés ? La présentation intégrale est dans le slider en fin de ce post.

Evidemment, un format 60 mn, c’est court pour tout voir… Surtout quand les questions (pratiques et concrètes, vous pouvez me croire !) se mirent à fuser de toute part ! Et je le redis : arretons la psychose des sanctions qui-font-très-peur. Pour les entreprises « normales » comme Kaufman & Broad, il n’y a rien qui doive faire peur. Ce sont surtout de bonnes pratiques, juridiques et techniques qui vont entrer en vigueur. Comment ? Oui, c’est ça, le délai de mise en conformité de deux ans à commencé le 25 mai 2016 (pas 2018)…

Les rappels de base du RGPD-GDPR

Commençons par revoir ce que sont vraiment ces « données à caractère personnel » et les « métadonnées » des communications électroniques.

clients-prospects-RH

Car si la GDPR est inéluctable, le projet de Règlement « e-Privacy » arrive lui aussi à grands pas.

clients-prospects-RH

Autre rappel : qui est « responsable de traitement » et qui est « sous-traitant« .

clients-prospects-RH

Avec quelques mots sur le droit des bases de données (le sous-traitant peut-il réutiliser à son profit les data qui lui sont confiées par le « responsable du traitement » ? NON bien sûr !). 

clients-prospects-RH

Et quand on est  « responsable du traitement », on est soumis à l’obligation d’information.

clients-prospects-RH

Et le « responsable du traitement » doit donc analyser les « droits RGPD-GDPR » offerts aux « personnes concernées ». Sans oublier les droits d’opposition art.21 et 22.

clients-prospects-RH

 

Sans oublier un bref rappel des 6 principes de licéité (la minimisation, etc.).

clients-prospects-RH

Puis on passe à l’incontournable choix de « la base juridique » des traitements, avant de passer à l’étape « information obligatoire » (article 12 GDPR-RGPD).

clients-prospects-RH

Les fichiers clients-prospects-RH-salariés, comment faire ?

Pour le fichier « RH / salariés », il me semble que le panaché s’impose : une dose de « traitement nécessaire à l’exécution d’un contrat » (de travail), une dose de « nécessaire au respect d’une obligation légale » plus une dose finale de « nécessaire aux fins des intérêts légitimes » de l’entreprise (gestion de carrière / monitoring de l’activité en ligne, etc.).

Pour le fichier « Prospects », il faut tenir compte de tout « profilage » dont les « personnes concernées » pourraient faire l’objet, aujourd’hui (peut-être pas) et demain (peut-être…).

clients-prospects-RH

Et si « profilage » il y a, alors droit d’opposition à « prospection, y compris le profilage » il y a aussi…

clients-prospects-RH

Pour le fichier « Clients », il va falloir apprendre à gérer d’un coté le fichier clients « essentiel » et de l’autres, les finalités marketing / prospection / profilage applicables à ce même fichier. Pour ces finalités ci, pourquoi ne pas penser directement à l’opt-in avec consentement, plutôt que de jouer au jeu (dangereux) du traitement SANS consentement « nécessaire aux fins des intérêts légitimes » ?

Bon, restent à revoir les contrats… 

clients-prospects-RH


Merci à Philippe Minier, DSI du groupe Kaufman & Broad pour son accueil et sa ténacité à réunir les participants à cette réunion d’information (sur ce sujet qui ne fait rire personne).