Depuis 2018, année de son entrée en vigueur, le RGPD (Règlement relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données) a fait couler beaucoup d’encre. De ceux qui y voient là une règlementation compliquée et inadaptée aux petites entreprises, à ceux qui considèrent, au contraire, que cette règlementation est insuffisante à l’encontre des géants du numérique, le RGPD a focalisé de nombreuses critiques.
LE RGPD : la protection des données à caractère personnel
Cette règlementation s’applique à toutes les entreprises européennes quelle que soit leur taille et les entreprises de Charcutiers-Traiteurs ne font pas exception. Si cette règlementation peut apparaître comme extrêmement compliquée et contraignante, elle est pourtant relativement simple à mettre en œuvre dans nos petites entreprises et ne nécessite pas d’y affecter une personne à temps plein.
A quoi sert le RGPD ?
Cette règlementation a pour but de libéraliser et de sécuriser les échanges de données. A l’heure du numérique, les entreprises collectent de nombreuses données pour leur fonctionnement mais aussi pour leurs activités économiques.
Toutes les entreprises sont désormais libres de collecter les données qu’elles souhaitent sous réserve d’une transparence constante sur l’objectif de la collecte et l’utilisation des données. Les individus dont les données sont collectées doivent pouvoir aujourd’hui être informés de l’utilisation de leurs données et s’opposer à toute utilisation qui leur serait préjudiciable.
En contrepartie de cette liberté de collecte, les entreprises doivent protéger les données en évitant qu’elles soient diffusées volontairement ou involontairement à des tiers, au risque sinon de lourdes poursuites financières de la part de la CNIL (plusieurs millions d’euros).
Quelles sont les données collectées par les entreprises ?
Toutes les données qui permettent d’identifier directement ou indirectement, en associant plusieurs données, une personne physique sont concernées par le RGPD.
Dans les entreprises de charcuterie-traiteur, ces données concernent principalement les salariés, les clients et les fournisseurs et sont généralement les mêmes, à savoir : le nom, le prénom, la date et le lieu de naissance, l’adresse, le numéro de téléphone, l’adresse mail, etc…
Néanmoins, des données plus personnelles encore peuvent être conservées, comme la rémunération des salariés, leur arrêt de travail pour maladie simple ou professionnelle.
Les grands principes du RGPD
Le RGPD innove par la liberté qui est laissée aux entreprises de s’autoresponsabiliser. Il n’est plus nécessaire de recueillir l’accord préalable d’une autorité pour mettre en place un traitement de données. L’installation d’un système de vidéosurveillance ne nécessite plus de déclaration préalable à la CNIL. Cette liberté est contrebalancée par des principes fondamentaux pour le traitement des données à caractère personnel.
En premier lieu, la collecte des données, que cette collecte soit imposée par la loi, par un contrat ou pour la vie des affaires de l’entreprise, doit reposer sur une transparence vis-à-vis des personnes concernées par la collecte. Les salariés, les clients, les fournisseurs et tous les autres interlocuteurs doivent être au courant des données qui sont collectées par l’entreprise et le but de cette collecte.
Par exemple, les clients doivent être au courant que l’adresse qui est collectée par l’entreprise est utilisée pour assurer la livraison d’un produit ou pour leur adresser une facture.
Cette transparence doit se faire à tout moment où des données sont utilisées.
En second lieu, l’utilisation des données personnelles ne peut être effectuée que si les personnes concernées consentent à leur utilisation. Il est donc impossible d’utiliser une donnée personnelle d’une personne sans son accord (sauf lorsque l’utilisation est imposée par la loi ou pour conclure un contrat).
Enfin, les personnes concernées par cette collecte doivent également être informées de leurs droits sur ces données. En effet, chaque personne peut s’opposer à l’utilisation de ses données à caractères personnel, peut avoir un droit d’accès à ces données, peut aussi demander leur rectification, demander à en limiter leur utilisation, leur effacement mais aussi leur portabilité d’un responsable de traitement à un autre
Pour les Charcutiers-Traiteurs, l’exercice de ces droits s’effectue directement auprès du chef d’entreprise.
Comment mettre en œuvre le RGPD en entreprise ?
Pour aider les entreprises mettre en œuvre cette règlementation, le RGPD a mis à la charge de tous les responsables de traitement et donc des entreprises, l’obligation de créer un Registre des Activités de Traitement.
Ce Registre, qui est établi par écrit et qui n’est pas public, doit préciser tous les objectifs d’une collecte de donnée (pourquoi je collecte ces données) et préciser les catégories de données qui sont utilisées (par ex : le nom du salarié, son adresse, sa date de naissance etc…).
Outre les données en elle-même, le responsable de traitement devra préciser combien de temps il conserve ces données. Il devra indiquer aussi les mesures de sécurité qu’il a mise en œuvre pour protéger toutes ces données. Il peut s’agir de mesures de sécurité techniques, telles que la mise en place de mots de passe pour accéder aux ordinateurs ou l’utilisation de clés USB cryptées, que de mesures organisationnelles, au sein de son entreprise, comme par exemple l’installation d’un coffre-fort dans lequel toutes les données comptables et sociales de la Société sont conservées.
Ce registre devra être mis à jour régulièrement et il permet au responsable de traitement de s’autocontrôler pour s’assurer qu’il est toujours en conformité avec la règlementation.
Il peut être prudent pour nos entreprises de charcuterie-traiteur de mettre en plus quelques mesures de sécurité élémentaires, telle que l’utilisation d’une messagerie professionnelle, de mots de passe avec des caractères spéciaux, ne pas laisser l’accès à ces données à tout le personnel, fermer à clé son bureau le soir. Tous ces éléments sont pris en compte dans le cadre du respect du RGPD.
Après avoir établi ce registre, il faut informer toutes les personnes de cette collecte, de qui peut avoir accès aux données et naturellement de leurs droits.
- L’information des salariés
Les données collectées par les entreprises sont nombreuses et variées. Outre l’identité des salariés, les employeurs disposent d’information parfois médicales à la suite, par exemple, de visites auprès de la Médecine du Travail, mais aussi toutes les informations sur la rémunération des salariés et donc aussi leur taux d’imposition.
Les salariés n’ont pas à donner leur consentement à la collecte de ces données puisque leur collecte est imposée par la loi. Néanmoins, ils doivent être informée de celle-ci, des personnes qui peuvent y avoir accès, notamment le cabinet comptable en charge d’établir les paies. Ils doivent ainsi connaître l’ensemble de leurs droits sur ces données.
L’information s’effectue par une clause du contrat de travail pour les nouveaux salariés. Pour les salariés déjà en poste dans l’entreprise, l’information peut intervenir par le biais d’une note de service.
Les adhérents de la CNCT peuvent se procurer gratuitement des modèles de contrats de travail, avec les mentions requises, ou un modèle de note de service auprès du service juridique de la confédération (Mail : juridique@lacnct.fr Tél :01.44.29.90.62).
- L’information des clients et des fournisseurs
Dans les entreprises de charcuterie traiteur, la collecte des données clients est réalisée dans les cas suivants :
- Vente en boutique : L’entreprise a pu se constituer un fichier client dans le cadre de sa politique commerciale (ex : carte de fidélité, commandes boutique …)
- Activité traiteur évènementiel : les clients communiquent leurs données personnelles au traiteur à travers les devis et bons de commande
A l’inverse des salariés, les clients doivent clairement consentir à la collecte de leurs données personnelles. L’information sur les données collectées, l’objectif de la collecte ainsi que les droits dont ils disposent, doit être effectuée par écrit. Une clause doit donc apparaître dans les contrats ainsi que dans les conditions générales de vente.
Naturellement, les clients doivent accepter de fournir certaines de leurs données essentielles à la conclusion du contrat, tel que leur nom, prénom, adresse, numéro de téléphone ou adresse mail par exemple.
Cependant, les clients doivent être particulièrement avertis de leurs droits. Il est donc possible d’afficher en boutique ou sur le site internet une politique de confidentialité des données qui reprend l’ensemble des informations qui doivent leur être fournies.
L’information à l’égard des fournisseurs est la même que celle des clients. Elle doit figurer dans les contrats et dans les conditions générales de vente.
Les informations à mentionner sur un site internet
Lorsque les entreprises ont un site internet à partir duquel leurs clients peuvent passer des commandes et payer leurs achats, la transparence au regard du traitement des données collectées par ce biais est plus importante.
Il faut absolument qu’une politique de confidentialité des données, qui précise les données qui sont collectées, l’objectif de la collecte, leur durée de conservation, les mesures de sécurité prises et les droits des clients sur leurs données soit consultée par les clients avant la commande. Ils doivent matérialiser leur consentement en cochant une case lors de la passation de commande.
L’entreprise qui a l’intention de mettre en place un site marchand doit nécessairement aborder cette question avec son prestataire et s’assurer que les règles du RGPD sont bien prises en compte par ce dernier dans le cadre de l’élaboration du site.
La CNIL a déjà précisé qu’elle effectuerait des contrôles aléatoires et à distance sur les sites marchands des entreprises.