Entré en application le 25 mai 2018, le Règlement Général sur la Protection des Données (RGPD) a un impact direct sur l’activité des professionnels de la sécurité privée.
En effet, les métiers de la surveillance, du gardiennage, de la télésurveillance ou encore de l’installation de systèmes de détection sont rattachés au périmètre de la sous-traitance au sens du RGPD ou à des conventions de prestations de services. Or, le RGPD impose de nouvelles obligations aux sous-traitants dont la responsabilité est susceptible d’être engagée en cas de manquement.
Ensuite, le RGPD modifie le cadre législatif (loi informatique et liberté) pour s’adapter à l’évolution des nouvelles technologies en facilitant « la libre circulation des données (…) tout en assurant un niveau élevé de protection des données à caractère personnel ».
Les obligations du RGPD se concentrent autour de 3 axes principaux :
- les entreprises doivent recenser les traitements contenant des données personnelles (cartographies des données, des traitements, des flux, des applications) dans le but d’élaborer leur registre des traitements,
- obligation d’analyse d’impact concernant les traitements présentant des risques pour le respect de la vie privée,
- obligation de sécurité renforcée pour le responsable du traitement.
Les 7 grands principes en matière de protection des données sont :
- Collecte loyale et licite des données (information, consentement)
- Finalité déterminée, explicite et légitime
- Proportionnalité (adéquates, pertinentes et non excessives)
- Durée limitée de conservation des données (les images d’un dispositif de surveillance ne peuvent conservées au-delà d’un mois, préconisation CNIL)
- Sécurité et confidentialité des données (empêcher le détournement, la perte, la divulgation l’altération…)
- Respect du droit des personnes (accès, rectification, opposition, oubli, limitation et portabilité)
- Données sensibles interdites (les données sensibles ne doivent pas faire l’objet de traitements)
Pour les entreprises de la sécurité privée, tout l’enjeu est de repenser leur gouvernance de protection des données à caractère personnel, puis de déployer l’ensemble des actions nécessaires pour être en parfaite conformité avec les exigences du RGPD.
C’est ici, un défi d’envergure tant le texte est complexe et technique.
Comment les métiers de la sécurité privée sont-ils impactés par le RGPD ?
Avant l’entrée en application du RGPD, le secteur de la sécurité avait déjà intégré les préceptes de cette nouvelle réglementation. En effet, l’arrêté du 27 juin 2017 portant sur le cahier des charges applicable à la formation initiale aux activités privées de sécurité, précise que l’obtention de la carte professionnelle autorisant l’exercice d’une activité de télésurveillance ne peut être délivrée sans une connaissance précise de la réglementation européenne pour la protection des données.
De même, l’esprit du RGPD doit être perçu comme une évolution du dispositif existant et non comme une révolution juridique. En votre qualité de professionnel de la sécurité privée, vous devez déjà avoir une connaissance précise des enjeux des données à caractère personnel si vous respectez à la lettre les différentes obligations issues de la loi informatique et libertés.
Depuis le 25 mai 2018, le RGPD dote la CNIL d’une puissance de sanction inégalée : des amendes pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial de l’entreprise peuvent être infligées aux contrevenants en cas de graves manquements avérés. Par ailleurs, une non-conformité avec le RGPD peut nuire à l’image de l’entreprise auprès de sa clientèle.
Les actions à mener pour être en conformité avec le RGPD
Le principe d’accountability (Responsabilité) impose à chaque entreprise d’être en capacité de démontrer à tout moment l’efficacité du dispositif et des mesures de protection des données mises en œuvre. Cela se traduit par la mise en place d’un processus permanent et dynamique de mise en conformité articulé autour de règles, d’outils et de bonnes pratiques.
Non seulement une entreprise doit être en conformité avec ce règlement, mais elle doit aussi être capable d’en faire la démonstration.
A ces fins, un audit des traitements établissant la cartographie des traitements et des données utilisées doit être mené. Ce rapport d’audit doit être complété par une série de mesures que l’entreprise s’attachera à mettre en œuvre selon un rétroplanning.
Par ailleurs, une série de mesures doit être appliquée, à savoir :
- Adopter des règles internes qui introduisent des mesures techniques et organisationnelles appropriées. Ces règles portent notamment sur la répartition des responsabilités, la sensibilisation et la formation du personnel ou encore la mise en place d’une documentation interne, nomination d’un Délégué à la Protection des Données (DPD) ou Data Protection Officer (DPO),
- Conserver obligatoirement une trace documentaire de tout traitement effectué sous la responsabilité du responsable du traitement ou du sous-traitant chargé de tenir un registre des données,
- Réaliser un audit d’impact pour les traitements présentant des risques particuliers au regard des droits et libertés des personnes concernées,
- Adopter les principes de Privacy by design et Privacy by default.
L’article 42 du RGPD comporte un paragraphe dédié à la certification. Les entreprises de sécurité privée ont tout intérêt à capitaliser sur leur conformité en précisant que leurs produits, process, et organisations proposées aux clients sont reconnues conformes aux exigences du RGPD par des organismes de certification.
Leader de l’assurance pour les professionnels de la sécurité privée, Verspieren met au point des produits d’assurances qui répondent aux exigences et aux particularités de votre activité et ce, dans le strict respect de la législation.