Les pompes funèbres et le RGPD : quelles sont leurs obligations ?

Une nouvelle réglementation européenne, le Règlement Général sur la Protection des Données (RGPD), est entrée en application le 25 mai 2018. Il renforce les droits des personnes et responsabilise un peu plus les organismes publics et privés qui traitent leurs données. Le contexte juridique s’adapte pour suivre les évolutions des technologies (usages accrus du numérique, développement du commerce en ligne…). Ces nouvelles obligations pesant sur les entreprises ont pour objectif plus de transparence dans les relations professionnelles : clients, salariés, prospects, fournisseurs, etc. Le RGPD prend en compte le volume ou la sensibilité des données traitées plus que la taille ou le nombre de salariés de l’entreprise.

Ainsi toutes les entreprises sont concernées par le RGPD quelle que soit leur taille. En effet à partir du moment où elles collectent, stockent ou utilisent des données à caractère personnel, les entreprises sont considérées comme "responsables de traitements". Si elles traitent des données à caractère personnel pour le compte d'autres entreprises, les entreprises sont qualifiées de "sous-traitantes". Il est à noter que la CNIL a élaboré (avec Bpifrance), un guide simple spécialement conçu pour les TPE-PME afin de mieux appliquer les règles du RGPD.

https://www.cnil.fr/sites/default/files/atoms/files/bpi-cnil-guide-rgpd-tpe-pme.pdf

Les données personnelles : d’après la réglementation en vigueur les données sont considérées "à caractère personnel" dès lors qu’elles concernent des personnes physiques identifiées :

• Directement lorsque par exemple le nom apparaît dans un fichier.
• Indirectement lorsqu’un fichier comporte des informations permettant son identification (adresse IP, nom, n° d’immatriculation, n° de téléphone, photographie, lieu de résidence, profession, sexe et âge, dates de naissance et de décès, coordonnées bancaires, etc… )

Des données considérées comme anonymes peuvent constituer des données à caractère personnel si elles permettent d’identifier une personne par recoupement d’informations. Il peut en effet s’agir d’informations qui ne sont pas associées au nom d’une personne mais qui permettent aisément de l’identifier et de connaître ses habitudes ou ses préférences. Ainsi, constituent des données à caractère personnel toutes les informations dont le recoupement permet d’identifier une personne précise (une date de naissance ou de décès associée à une commune de résidence, le lieu d’une sépulture…). Cependant, un fichier ne contenant que des coordonnées d’entreprises (par exemple, entreprise « Marbrerie X » avec son adresse postale, le numéro de téléphone et un email de contact générique « MarbrerieX@email.fr ») n’est pas un traitement de données personnelles.

Non, le traitement papier des données ne vous exonère pas des règles. En effet depuis 2004, « Constitue un traitement de données à caractère personnel toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction. »

Le principe : toute entreprise collecte des données personnelles sur ses clients, ses prospects, ses salariés etc… par des moyens divers lors d’entretiens, par le site web de l’entreprise, le téléphone, le mail, la prospection publicitaire, par des partenariats commerciaux, etc … Cette collecte implique une exactitude des données enregistrées, un stockage fiable, une mise à jour et une protection efficiente (par principe ces données ne sont pas communicables sauf accord préalable de la personne concernée ou autorité compétente). Le volume de données augmente et nécessite de mobiliser de plus en plus de moyens humains et techniques (espace de stockage, logiciels adaptés, etc.) pour les gérer, les mettre à jour, et en assurer la sécurité. Le RGPD exige que les données soient pertinentes par rapport à l’objectif pour lequel une entreprise collecte les données. Le niveau de sécurité de l’entreprise dans sa globalité se pose en préalable à la sécurité des données. Au même titre que la protection juridique du nom de votre PME ou son logo, les données personnelles doivent faire l’objet de mesures de sécurité particulières, informatiques et physiques.

Sur les conseils de la CNIL voici les 4 actions principales à mener pour entamer une mise en conformité aux règles de protection des données :

• 1. Recensez vos fichiers : Identifiez les activités principales de votre entreprise qui nécessitent la collecte et le traitement de données (exemples : recrutement, gestion de la paye, formation, gestion des badges et des accès, statistiques de ventes, gestion des clients prospects, etc.). Vous trouverez un modèle de registre proposé par la CNIL sur son site internet https://www.cnil.fr/fr/cartographier-vos-traitements-de-donnees-personnelles. Le registre est placé sous la responsabilité du dirigeant de l’entreprise.


• 2. Faites le tri dans vos données : Pour chaque fiche de registre créée, vérifiez que les données que vous traitez sont nécessaires à vos activités ; que vous ne traitez aucune donnée dite « sensible » (nécessite une vigilance particulière sont concernées les données révélant l’origine prétendument raciale ou ethnique ; portant sur les opinions politiques, philosophiques ou religieuses ; relatives à l’appartenance syndicale ; concernant la santé ou l’orientation sexuelle, etc) ; que seules les personnes habilitées ont accès aux données dont elles ont besoin ; que vous ne conservez pas vos données au-delà de ce qui est nécessaire.


• 3. Respectez les droits des personnes : À chaque fois que vous collectez des données personnelles, le support utilisé (formulaire, questionnaire, etc.) doit comporter des mentions d’information. Vérifiez que l’information comporte notamment les éléments suivants :
  
  • Pourquoi vous collectez les données
  • Ce qui vous autorise à traiter ces données (le consentement de la personne concernée, de l’exécution d’un contrat obsèques, du respect d’une obligation légale qui s’impose à vous)
  • Qui a accès aux données (les services internes compétents, un prestataire, etc.) ;
  • Combien de temps vous les conservez ( « 5 ans après la fin de la relation contractuelle ») ;
  • Les modalités selon lesquelles les personnes concernées peuvent exercer leurs droits (par un message sur un email dédié, par un courrier à une adresse identifiée) ;
  • Si vous transférez des données hors de l’Union européenne
• 4. Sécurisez vos données : Garantissez l’intégrité de vos données en minimisant les risques de pertes de données ou de piratage. Les mesures à prendre dépendent de la sensibilité des données que vous traitez et des risques qui pèsent sur les personnes en cas d’incident. Différentes actions doivent être mises en place : mises à jour de vos antivirus et logiciels, changement régulier des mots de passe et utilisation de mots de passe complexes, ou chiffrement de vos données dans certaines situations. En cas de perte ou vol d’un outil informatique, il sera plus difficile pour un tiers d’y accéder. Pour évaluer le niveau de sécurité des données personnelles dans votre entreprise, voici quelques questions à se poser :
  
  • Les comptes utilisateurs internes et externes sont-ils protégés par des mots de passe d’une complexité suffisante ?
  • Les accès aux locaux sont-ils sécurisés ?
  • Des profils distincts sont-ils créés selon les besoins des utilisateurs pour accéder aux données ?
  • Avez-vous mis en place une procédure de sauvegarde et de récupération des données en cas d’incident ?