Mettre en place les obligations de protection des données personnelles (RGPD)

Le Règlement général sur la protection des données est entré en vigueur le 25 mai 2018. La loi française relative à la protection des données a été publiée le 20 juin 2018 et vient notamment poser les nouvelles compétences de la CNIL. Pour vous accompagner le GNI vous donne ses conseils adaptés au secteur de l’hôtellerie-restauration pour vous accompagner dans la protection des données personnelles collectées.

(Lire ici notre article sur le contenu de ce Règlement)

A noter dès à présent

  • Toutes les données personnelles sont concernées : celles des salariés, des clients, des prospects et des fournisseurs.
  • Il n’y a plus de déclaration préalable à effectuer auprès de la CNIL (Ex : vidéo-surveillance, fichiers de candidats…).
  • Un établissement du secteur HCR, du fait de son activité, n’a pas l’obligation de désigner un Délégué à la Protection des données.
  • Tous les supports (numérique et papier) sont concernés par le Règlement.
  • Tous les documents et toutes les procédures relatives à la protection des données sont à conserver au même endroit pour les présenter facilement en cas d’un éventuel contrôle.

Le renforcement des droits des individus

Les personnes dont les données ont été collectées ont le droit :

  • de rectifier leurs données si celles-ci sont inexactes,
  • de demander la suppression des données, si elles ne sont plus nécessaires à la finalité de la collecte et dans la limite des durées légales,
  • de limiter le traitement des données,
  • de recevoir les données dans un format couramment utilisé et lisibles par machine,
  • de s’opposer à un traitement de données, notamment en cas de prospection ou de profilage.

Les obligations des entreprises

Le RGPD repose essentiellement sur une obligation majeure : la responsabilisation de chaque acteur à chaque étape de gestion des données personnelles.

Envers chaque individu dont les données personnelles sont collectées, les entreprises du secteur doivent :

  • Communiquer sur les finalités de la collecte des données.
  • Obtenir le consentement des personnes dont les données sont collectées. Cela est notamment très fortement conseillé avant tout marketing direct envers les anciens clients.
  • Donner aux clients accès à leurs données, notamment pour leur permettre de les envoyer à d’autres entreprises (Droit à la portabilité).
  • En cas de problème de sécurité des données représentent un risque élevé pour les droits et libertés des personnes, celles-ci doivent en être informées.
  • Supprimer les données à la fin de la durée légale de conservation et/ou sur demande expresse.
  • Permettre aux personnes de s’opposer au traitement en vue de marketing direct.

Les entreprises doivent également faire le point sur l’ensemble des données personnelles qui sont collectées en remplissant leur Registre. En faisant cela, chaque établissement sera en mesure d’améliorer ses procédures internes de protection des données (respect des durées de conservation, cybersécurité…)

Les actions à mener

  Employés Clients Fournisseurs Sous-traitants
1

Déterminer la personne référente aux données personnelles dans l’entreprise.
Les entreprises du secteur HCR, du fait de leur activité, n’ont pas l’obligation de désigner un Délégué à la Protection des données (DPO) Néanmoins la CNIL recommande d’avoir une personne qui centralise toutes les informations, notamment en contact pour les salariés (anciennement le Correspondant Informatique et Liberté). Par défaut il s’agira donc du chef d’entreprise.

Lien pour désigner un DPO à la CNIL.

2

Cartographie des données collectées par type de traitement
Pour les plus de 250 employés :

https://www.cnil.fr/sites/default/files/atoms/files/registre-reglement-publie.xlsx 
Pour les moins de 250 salariés :

https://www.synhorcat.com/IMG/pdf/registre_rgpd_basique.pdf

3

Informer tous les individus pour lesquels les données personnelles sont collectées et traitées.

Information dans le contrat de travail/l’avenant aux contrats de travail, le Règlement intérieur, Note interne (Modèles GNI à venir)

Mail d’information aux anciens clients (voir modèle GNI)

Mail d’information aux fournisseurs (voir modèle GNI)

Mail demandant la signature des nouvelles clauses de partage de responsabilité (voir modèle GNI)

Information des candidats en cas de conservation des données personnelles contenues dans les CV.

Modification des conditions générales de vente avec les clauses de respect de la protection des données (voir modèle GNI)

Demande de consentement pour tout usage des données ne relevant pas du contrat de prestation (ex : mails marketing) (voir modèle GNI)

 

Conservation de tous les avenants/nouveaux contrats prenant en compte les obligations du RGPD

4

Mise en place des mesures de sécurité des données dès la conception des systèmes informatiques et mise en place de procédures internes et d’information des collaborateurs en charge de traitement de tout ou partie des données personnelles

5

Suppression des données

  • lorsque demandé par la personne (dans la limite des durées légales)
  • à l’expiration des durées légales
6

Informer les individus en cas de problème de sécurité des données représentant un risque élevé pour leurs droits et libertés.

Retrouvez en pièce jointe à cet article le Guide numérique relatif à la protection des données personnelles réalisé par le GNI.

Pour toute demande relative à ce sujet, n’hésitez pas à envoyer un mail avec vos questions à v.martens@gni-hcr.fr.

Documents

Chemin