Le GDPR dans le secteur de la construction

Le GDPR dans le secteur de la construction

Depuis le 25 mai 2018, l’Union européenne a adopté le Règlement général sur la protection des données (RGPD) qui succède aux directives sur la protection des données. Le Corona a entraîné un énorme changement numérique, y compris pour le secteur de la construction. Pourtant, pour les personnes actives dans ce secteur, il est encore un peu difficile de savoir ce qu’il faut faire pour se conformer à la législation GDPR. C’est pourquoi nous avons rassemblé les informations essentielles. 

 

Principes de base du GDPR

Le GDPR s’articule autour d’un certain nombre de principes, notamment la transparence et la sécurité. La transparence peut être envisagée de manière très large. En premier lieu, il s’agit d’agir de manière transparente envers les personnes concernées. En outre, il s’agit également de cartographier les données qu’une entreprise traite afin d’en avoir une vue d’ensemble transparente.

Les données à caractère personnel doivent non seulement être traitées de manière transparente, mais elles doivent également être sécurisées de manière adéquate. Cela peut concerner l’infrastructure informatique d’une entreprise, mais aussi l’accès physique aux données personnelles. Les données personnelles ne peuvent plus être accessibles à n’importe qui. Il faut donc éviter de laisser traîner des documents sur un bureau où des personnes ont un accès non contrôlé.

Approche pratique du GDPR

Alors comment aborder concrètement la mise en œuvre du GDPR dans le secteur de la construction ? Commencez par le début : déterminez de qui vous conservez les données personnelles. Il peut s’agir du personnel, de clients, de fournisseurs, de sous-traitants, … L’endroit où vous conservez ces données personnelles est également très important. Seules les personnes qui doivent travailler avec ces données sont autorisées à y avoir accès. Vous allez donc devoir examiner la meilleure façon de procéder dans votre entreprise. Il peut s’agir d’élaborer une politique de confidentialité conforme à la réglementation de votre entreprise, de conclure des contrats avec des fournisseurs ou des sous-traitants qui traitent des données relatives à votre personnel ou à vos clients, d’adapter la réglementation du travail dans le cadre du traitement de données sensibles. Mais aussi d’autres affaires comme le stockage de documents dans une armoire avec un code ou un mot de passe sur le PC qui a accès à ces données et même un programme avec des codes spécifiques afin de pouvoir suivre qui consulte quelles données et quand. Il existe plusieurs options à cet égard ; vous devez choisir celle qui convient le mieux à votre entreprise et à vos méthodes de travail.

Vous devez également établir un registre de traitement de toutes les données personnelles que vous traitez. Il s’agit d’un registre dans lequel vous gardez la trace de toutes les données personnelles que vous traitez. Ce qu’il doit contenir dépend du fait que vous soyez un contrôleur de données ou simplement un processeur. Vous trouverez ci-dessous une liste, mais nous pouvons certainement vous aider dans ce domaine.

1) Votre organisation est-elle responsable du traitement ? Vous pouvez le savoir si votre organisation détermine elle-même la finalité et les moyens du traitement des données à caractère personnel. Si tel est le cas, vous devez inclure les éléments suivants dans le registre :

  1. Nom et coordonnées de
    • L’organisation ou le représentant de l’organisation
    • Toute autre organisation avec laquelle vous déterminez conjointement les finalités et les moyens du traitement
  2. Les finalités du traitement (par exemple, pour l’acquisition et la sélection de personnel, la livraison de produits ou le marketing)
  3. Description des catégories de personnes concernées et des catégories de données à caractère personnel (par exemple, numéros de téléphone, images de caméra, adresses IP)
  4. Catégories de destinataires auxquels les données personnelles seront fournies
  5. Période de stockage
  6. Sécurité
    •  Il peut s’agir d’une description des mesures techniques et organisationnelles visant à protéger ces données

2) Si votre organisation est un processeur de données personnelles, vous devez inclure les éléments suivants dans le registre :

  1. Nom et coordonnées de
    • L’organisation ou le représentant de l’organisation
    • Le délégué à la protection des données, si vous en avez désigné un
  2. Les catégories de traitement effectuées pour le compte de chaque contrôleur
  3. Les entreprises internationales avec lesquelles des données sont échangées, y compris celles situées en dehors de l’UE
  4. Sécurité
    • Il peut s’agir d’une description des mesures techniques et organisationnelles visant à protéger les données

Outre le registre de traitement, vous devez également informer toutes les personnes dont vous conservez les données personnelles de la manière dont vous traitez ces données et informer ces personnes de leurs droits. Par exemple, en tant qu’entreprise, vous devez disposer d’une « déclaration de confidentialité » qui explique de qui vous recueillez des données et comment ils peuvent consulter ou supprimer ces données. Placez-vous également des cookies sur votre site web ? Il s’agit là aussi d’un traitement de données à caractère personnel. Dans ce cas, vous devez également inclure une déclaration sur les cookies sur votre site web. N’oubliez pas de faire référence à votre déclaration de confidentialité dans chaque formulaire de contact de votre site web et de demander aux prospects et (parfois) aux clients l’autorisation de recevoir des bulletins d’information.

Avez-vous encore des questions après avoir lu cet article ou recherchez-vous un support juridique ciblé pour toute question ou document relatif au GDPR ? N’hésitez pas à nous contacter !