Pour Gaëlle Lipinski (CLC), les entreprises ont le devoir d’instaurer en interne des mesures de gestion et de protection des données.

Le 25 mai 2020, le Règlement général sur la protection des données (RGPD) a fêté ses deux années d’existence.

Lancé par la Commission européenne, validé par le Parlement européen, le dispositif vise à accroître la protection des personnes physiques concernées, par un traitement de leurs données à caractère personnel.

Il s’adresse avant tout aux entreprises privées et aux organisme publics, tenus de respecter un certain nombre de règles sur ces questions, dans le cadre de leurs activités.

« Et gare à ceux qui ne respectent pas leurs obligations ! », prévient Gaëlle Lipinski, juriste et Data Protection Officer (DPO) auprès de la confédération luxembourgeoise du commerce, l’organisation patronale dédiée à l’entreprise privée.

Gaëlle Lipinski, quelles mesures les entreprises doivent-elles prendre pour se mettre en conformité ?
Quelles que soient la taille de l’entreprise – start-ups, PME, grand groupe – ou ses activités, ces mesures passent par des actions très précises : comme notamment la nomination en interne d’un délégué à la protection des données, ou au moins d’une personne en charge de cette question, ou le recensement des différents traitements des données, qui seront ensuite consignés dans le registre des activités de traitement (couramment appelé le Registre).

Une fois la démarche effectuée et documentée, les sociétés doivent alors définir les éventuelles actions correctives, et analyser les risques pouvant avoir des conséquences sur la sécurité des données. Elles doivent en outre mettre en place des procédures internes, afin d’assurer en permanence la protection des données personnelles traitées, et d’anticiper les événements éventuels pouvant impacter celle-ci.

Mais, les (très) petites structures ne disposent pas toujours des ressources financières et humaines suffisantes, pour intégrer de telles dispositions dans leurs activités.
Pour cette raison, la confédération luxembourgeoise du commerce sensibilise ses membres aux risques possibles, en cas de non-conformité au RGPD. Elle leur propose également des sessions d’informations juridiques générales ou sectorielles sur le dispositif.

De plus, elle accompagne les PME de moins de 100 salariés, en leur proposant un service de DPO externe, pour la mise en place du règlement, et la documentation du traitement de leurs données.

Sans oublier les questions de sécurité informatique, l’un des aspects les plus sensibles en matière de gestion et de protection des données personnelles.
Dans ce domaine, des actions appropriées doivent être mises en place par les entreprises et leurs sous-traitants. Ces mesures doivent être adaptées aux risques visant les personnes concernées, au volume et à la sensibilité des données traitées.

D’ailleurs, la Commission nationale pour la protection des données (CNPD) y consacre un dossier thématique. Mais la sécurisation ne doit pas se limiter uniquement à l’aspect purement technique ; elle doit aussi impliquer tous les acteurs concernés (responsables du traitement, employés exécutants et sous-traitants, personnes dont des données sont traitées).

Concrètement et conformément aux dispositions du RGPD, les outils et les applications TIC, ainsi que les dispositifs de sécurité mis en place par l’entreprise pour son activité, doivent donc être précisés et décrits.

Idem pour les connexions téléphoniques et Internet, pour les outils de gestion, de sauvegarde et d’hébergement des données sur un serveur interne, les cloud externes et les datacenters, voire même les caméras intérieures et extérieures de vidéo-surveillance… Toutes ces infrastructures, doivent être répertoriées et consignées dans le Registre.

Ainsi, en suivant les recommandations de la CNPD, les sociétés s’appliquent une démarche préventive de sécurisation de leurs données. De plus, elles limitent les risques de perte ou de piratage de leurs données sur leurs activités, salariés, clients, fournisseurs et sous-traitants. Et elles peuvent mieux se prémunir contre l’espionnage industriel.

La peur a fait naître des comportements et des décisions qui n’étaient pas correctes. 

Que risquent les entreprises non conformes ?
Gare à celles qui n’adhèrent pas du tout (ou que partiellement) au règlement. À tout moment, la CNPD peut exiger de consulter le Registre, et prendre les sanctions nécessaires[1], en cas de non-conformité ou de violation.

Et même si la démarche est contraignante et chronophage, la mise en conformité a toutefois le mérite d’initier au sein des entreprises une introspection d’affaires, voire un véritable état des lieux.

Ce qui est donc important, c’est la prise de conscience : en passant en revue l’intégralité de leurs processus, activités et métiers, en listant leurs personnels, clients, sous-traitants et fournisseurs, les sociétés peuvent ainsi identifier les risques potentiels et existants, et apprendre à mieux se connaître. Et qui se connaît bien, se protège bien.

Qu’en est-il aujourd’hui, avec la crise sanitaire et économique actuelle ? Avec le Covid-19, les sociétés sont confrontées à d’autres priorités. Quelle que soit leur taille, elles ont mis de côté leur démarche RGPD. Car celle-ci n’a de sens que si l’entreprise fonctionne, et non quand ses activités sont à l’arrêt. Si elle est en crise, la question ne se pose pas.

Plus que jamais, la crise sanitaire a permis de faire comprendre aux entreprises que le RGPD avait vraiment sa place.

La problématique de la protection des données de santé des salariés s’est toutefois posée…
Un des réflexes premiers des gens qui ont peur, est de vouloir tout connaître sur tout le monde. Plusieurs entreprises ont donc eu envie de collecter des informations de santé sur leurs employés et sur leurs clients : en leur demandant par exemple, s’ils avaient été en contact avec des personnes contaminées, si eux ou leurs proches présentaient des symptômes.

Certains employeurs ont même voulu prendre la température de leurs salariés et de leurs clients, ou encore leur imposer un test Covid régulier…

Ce sont des données sensibles et de santé, que les sociétés, en tant qu’employeurs et fournisseurs, ne sont pas tenues de connaître. Beaucoup ont donc été rappelées à l’ordre, suite à ces actions intrusives. La peur a fait naître des comportements et des décisions qui n’étaient pas correctes.

Aussi, il faut faire preuve de bon sens : comme mettre du matériel de protection (lingettes, gels, masques, etc.), un local aéré et suffisamment spacieux, à disposition des salariés. Et instaurer des pratiques dans l’entreprise visant à prévenir la propagation du virus.

Plus que jamais, la crise sanitaire a permis de faire comprendre aux entreprises que le RGPD avait vraiment sa place.

A-t-elle fait émerger d’autres problématiques concernant la protection des données à caractère personnel ?
Pour s’adapter, certaines entreprises ont revu leurs activités, et proposé de nouveaux services, comme les commerces, qui sont passés de la vente directe à la livraison à domicile.

Beaucoup n’ont cependant pas adapté leur démarche RGPD à ce repositionnement. Pour assurer ces nouveaux services, ces sociétés ont dû en effet collecter des informations sensibles et de santé sur leurs clients : sur telle personne handicapée qui souhaite qu’on lui monte son achat à son étage ; ou sur une autre, en quarantaine, et qui demande qu’on laisse son colis devant sa porte…

Les entreprises qui possédaient déjà un Registre ont peut-être intégré ces nouvelles données dans leurs fichiers. Celles qui n’avaient pas de démarche RGPD n’ont que rarement pensé à le faire.

De même, de nombreux sites Internet ont récemment vu le jour, durant la crise sanitaire : beaucoup ont cependant omis d’y publier le recueil du consentement pour le traitement des données.

Même quand elle fonctionne au ralenti, la société reste responsable de la protection de ses données, de celles de ses salariés et clients.

Durant cette crise, de nombreux cas de hacking ou de phishing de sociétés ont également été signalés.
Beaucoup d’entreprises qui avaient mis leur personnel – notamment IT – au chômage partiel ou en congé, n’ont pas nécessairement mis à jour leurs logiciels et leurs pares-feux de sécurité durant cette période.

Certains pirates informatiques ont donc profité de ce relâchement dans la sécurité informatique pour hacker les données.

Aussi, même quand elle fonctionne au ralenti, la société reste responsable de la protection de ses données, de celles de ses salariés et clients.

Qu’en est-il du télétravail et de la protection des données?
Là aussi, les données ne sont pas toujours protégées : par exemple, certains salariés travaillent sur leur terrasse, divulguent, à haute voix et sans s’en rendre compte, des données confidentielles sur leur entreprise et ses clients.

D’autres ne prennent pas la peine de protéger leur réseau Wifi privé par un mot de passe. Mais quand ils se connectent depuis leur ordinateur sur le réseau de leur entreprise, ils font courir le risque d’un piratage des données de leur employeur.

D’autres encore, stockent des documents professionnels confidentiels et des données à caractère personnel sur l’ordinateur utilisé par toute la famille…

En général, on se protège d’un risque quand on en est conscient. Sur ce point, le RGPD est un bon moyen de sensibiliser les entreprises et leur personnel sur ces questions.

Aussi, la crise sanitaire – avec ses conséquences comme le confinement, le travail à domicile – leur a fait notamment prendre conscience que protéger ses données pouvait être certes un mal nécessaire, qui leur permettait d’éviter le pire.

Silicon Luxembourg, juillet 2020


[1] Les amendes administratives peuvent se monter jusqu’à 20 millions d’euros, ou jusqu’à 4% du chiffre d’affaires mondial généré par les groupes durant l’exercice précédent.

Le manquement au RGPD peut être aussi sanctionné pénalement : d’une amende de 251 à 125.000 euros, assortie d’une peine d’emprisonnement de huit jours à un an.