Inscrire la suppression des données dans la culture de l’entreprise

Rattachés à 61,4 % au N-1, les DPO opèrent dans le cadre d’un comité de pilotage qui rassemble au minimum la direction générale, la direction informatique et le service juridique. « Nous nous réunissons deux fois par an, décrit Laetitia Reina, DPO chez le bailleur social Alpes Isère Habitat qui fait partie des 25,8 % des DPO exerçant leur mission à temps plein. À chaque nouveau projet, par exemple les bâtiments connectés expérimentaux, la conformité au RGPD intervient dès la conception. Les métiers ne disposent que des données dont ils ont besoin. Une fois l’expérimentation terminée, nous détruisons les DCP. Cette pratique est désormais bien inscrite dans notre culture d’entreprise. »

Former des relais

Pour diffuser cette culture, le DPO doit parfois donner de sa personne. En témoigne Dominique Bricot, DPO pour les 2 700 entités juridiques du réseau Aide à domicile en milieu rural (ADMR) qui emploie 35 personnes au niveau national. « Soins infirmiers, aide au ménage, à la toilette… nos 95 000 salariés et 85 000 bénévoles s’occupent d’environ 800 000 personnes au quotidien, explique-t-il. Pendant six ans, j’ai fait le tour de France pour accompagner localement la mise conformité au RGPD chacune de nos 87 fédérations départementales. Après quatre ans d’audit, j’ai formé 233 relais départementaux salariés et bénévoles. »

Des données mieux gérées

Au cœur de sa mission, le DPO instaure et actualise en permanence le registre des données et des traitements. Lequel pose de nombreuses questions. Quelles applications génèrent quelles données ? Où sont-elles stockées ? Quels traitements leur applique-t-on ? Sur quelles bases juridiques ? Qui en est responsable ? Quels en sont les moyens de protection ? Quelle doit être leur durée de vie ? « Le registre ne fait pas toute la conformité mais il donne une vision claire sur les données », souligne Nathalie Krief. Résultat : « Nous minimisons ainsi nos DCP et nous les protégeons mieux, confie Dominique Bricot. Mais cela requiert un travail quotidien énorme ! »

Des adaptations de logiciels parfois nécessaires

Quant aux prestataires et sous-traitants informatiques, leurs contrats respectent les clauses RGPD. À ceci près : bon nombre d’applications professionnelles ne sont pas conçues pour gérer le cycle de vie des données. « Nous avons demandé à notre prestataire un système qui limite la collecte d’informations au strict nécessaire par les personnes idoines », précise Dominique Bricot. L’éditeur a dû également découper la durée de vie des données en quatre temps : celui de la donnée active tant que le dossier est ouvert, celui de l’archive courante (le dossier est clos mais on a encore besoin d’y accéder). Vient ensuite l’archive intermédiaire réservée à un nombre limité d’accédants. Enfin, l’archivage définitif prévoit soit l’anonymisation des DCP soit leur suppression. « Très compliqué et coûteux, ce travail est toujours en cours », poursuit le DPO d’ADMR. Du coup, tous les nouveaux développements prévoient d’analyser leur impact sur les DCP, d’intégrer une collecte différenciée des données en fonction des utilisateurs ainsi qu’une gestion de leur cycle de vie.

Valérie Aumage : « L’employeur doit faciliter l’identification des cas contact »

Associée au cabinet d’avocats Taylor Wessing, cette avocate est responsable du département informatique et données personnelles. Elle nous éclaire sur la protection des données de santé (RGPD) en situation de Covid-19.

L’employeur peut-il collecter et traiter des données de santé ?

En principe, non. L’employeur ne peut se fonder sur l’exception qui serait tirée du consentement de ses salariés pour collecter leurs données de santé. En revanche, il peut traiter des données de santé si c’est strictement nécessaire à l’exécution de ses obligations de sécurité notamment vis-à-vis de ses salariés et agents.

Qu’en est-il de ses obligations face au Covid-19 ?

En lien avec le service de santé au travail, l’employeur (ou le référent Covid-19) doit sans délai mettre en place une procédure de prise en charge sans délai des personnes symptomatiques. Si un cas est avéré, il doit être en mesure de faciliter l’identification des contacts par les autorités en réalisant une matrice fondée sur les déclarations du salarié concerné et l’historique de son activité dans l’entreprise. Pour cela l’employeur doit collecter certaines données de santé.

Doit-il avertir les autres salariés ?

Non. Ils n’ont pas à connaître les données de santé des autres salariés car elles sont hautement confidentielles. Cependant, comme pour les autres traitements, l’employeur doit informer ses salariés des traitements relatifs à leurs données de santé et répertorier le traitement dans le registre de traitements.

L’employeur peut-il demander à ses salariés de se faire tester ?

Non, il ne peut que relayer les messages des autorités sanitaires : inviter toute personne symptomatique à ne pas se rendre sur son lieu de travail, consulter un médecin, se faire dépister et s’isoler dans l’attente des résultats. Il n’aura pas accès au résultat du test.

Que penser du cahier de rappel que doivent tenir les restaurateurs ?

Ce registre concerne les clients. Face à l’échec de l’application Stop Covid, il est maintenant obligatoire en zone d’alerte maximale. Les données du registre (identité, date et heure d’arrivée, téléphone ou e-mail) sont conservées 14 jours et ont pour seul objet d’être transmises sur demande aux autorités sanitaires. Ces données ne peuvent être utilisées à des fins de prospection commerciale.