RGPD au camping : comment bien appréhender la loi ! 1/2

RGPD au camping : comment bien appréhender la loi ! 1/2

Le règlement général de la protection des données (RGPD), règlement européen adopté le 27 Avril 2016, est entré en vigueur le 25 Mai 2018. Il renforce considérablement les obligations des entreprises en matière de gestion et de protection des données à caractère personnel dont elles disposent. Il les expose à des sanctions lourdes pouvant aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires réalisé, en cas de contrôle et de non-conformité à la loi. Un rappel pratique des obligations des campings n’est sans doute pas inutile…

Données à caractère personnel : de quoi s’agit-il ?

Les données à caractère personnel peuvent être classées en 3 catégories :

  • Les données courantes comme l’état civil, l’identité, les données de vie personnelle (habitudes de vie, situation familiale, …), les données de vie professionnelle (CV, scolarité, formation, …), mais aussi des données comme la plaque minéralogique de son véhicule, etc…
  • Les données sensibles comme le revenu, la situation financière, la situation fiscale, les données de localisation (Déplacements, GPS, …), les données de connexion (adresse IP, Log, …), etc … 
  • Les données particulières définies dans les articles 9 et 10 du RGPD, comme l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, les données génétiques, les données biométriques, les données de santé, les données concernant la vie sexuelle ou l’orientation sexuelle, les infractions, condamnations, mesures de sûreté.

En France, la CNIL a ajouté le NIR (Numéro de sécurité sociale)

Le traitement des données particulières est INTERDIT sauf exception…

Un premier constat est que toutes les entreprises, associations, municipalités, etc… traitent des données à caractère personnel. La loi s’applique donc à tous les organismes publics ou privés.

Le second constat est que les données collectées concernent les salariés, les clients, les prospects et les fournisseurs.

Le traitement des données à caractère personnel

La mise en conformité du RGPD ne concerne pas les données à caractère personnel en elles-mêmes, mais le traitement qu’on peut en faire. Par exemple, l’établissement des feuilles de paye traite les données courantes du salarié (Nom Prénom, adresse) ainsi qu’une donnée particulière (le numéro de sécurité sociale).

Tous les traitements des données à caractère personnel doivent être identifiés, ce qui constitue la première étape du registre de traitement

La licéité des traitements

La légitimité d’un traitement de données personnelles (la licéité) peut reposer sur les bases suivantes :

  • nécessité du traitement en vue de l’exécution d’un contrat conclu avec la personne concernée
  • nécessité du traitement pour que le responsable du traitement puisse répondre à une obligation légale qui lui est applicable
  • nécessité d’effectuer le traitement pour la sauvegarde des intérêts vitaux de la personne
  • traitement nécessaire à l’exécution d’une mission d’intérêt public
  • nécessité du traitement aux fins des intérêts légitimes du responsable du traitement
  • consentement de la personne

 A titres d’exemples, retenons qu’il est licite de collecter le numéro de sécurité sociale d’un nouveau salarié, puisque c’est une obligation légale de le transmettre aux organismes sociaux. En revanche, ce numéro n’est pas une mention obligatoire dans un contrat de travail, il ne doit donc plus y figurer.

De même, il est licite de collecter les allergies d’un enfant lors de son inscription au club enfant puisqu’il s’agit de la sauvegarde de son intérêt vital.

Bien que le registre de traitement ne soit obligatoire que pour les organismes de plus de 250 salariés, il est toutefois fortement recommandé de le mettre en place car il permet à chaque camping ou groupe de campings d’identifier ses causes de non-conformité et de les corriger. Imaginez comment réagirait la CNIL si vous ne pouviez présenter un registre des traitements lors d’un contrôle (comparable à la non présentation du registre du personnel en cas de contrôle par l’inspection du travail ou par l’URSSAF).

A suivre ...