Avec l’entrée en vigueur prochaine du RGPD, messages alarmistes et informations erronées se multiplient. De nombreuses entreprises peinent encore à comprendre les nouvelles obligations et les répercussions sur leur activité. Le 25 mai, date de mise en application du texte, approchant à grands pas, l’inquiétude grandit. Cette date butoir est réelle et faire fi du RGPD ou commettre des erreurs pourrait s’avérer coûteux. Il est toutefois important de comprendre que la conformité au RGPD est une démarche qui s’inscrit dans la durée. Ce nouveau règlement impose aux professionnels des données de faire de la protection de la vie privée une réalité quotidienne. La sécurité doit donc être intégrée aux processus dès le départ et non dans un deuxième temps. Le secteur de la gestion des services généraux ne pourra se soustraire à cette nécessité liée au RGPD.

Le RGPD pour les responsables de la gestion des services généraux

Mythe RGPD n° 1 : le RGPD ne concerne que les grandes entreprises comme Google et Facebook. Non, petites ou grandes, toutes les entreprises qui traitent des données permettant d’identifier une personne doivent respecter le RGPD. La taille et l’activité de votre structure n’entrent pas en ligne de compte.

Qu’est-ce que le RGPD ? Et quelles sont ses répercussions sur le secteur de la gestion des services généraux ?

Le Règlement général sur la protection des données a été rédigé dans le but d’actualiser la Directive sur la protection des données existante. Lorsque ce texte a été élaboré, en 1995, le contexte était bien différent. Google (fondée en 1998) n’existait pas. Les réseaux sociaux tels que Facebook (2004) ou Instagram (2010) non plus. Amazon venait de se lancer en tant que librairie en ligne. Internet et le cloud n’avaient pas encore entraîné la création de nouvelles méthodes d’exploitation des données. En renforçant la législation sur la protection des données et en introduisant des sanctions plus sévères, l’UE souhaite permettre aux citoyens de mieux contrôler l’usage qui est fait de leurs données à caractère personnel et renforcer la confiance dans l’économie numérique.

Mythe RGPD n° 2 : le règlement ne concerne pas les activités B2B. Le RGPD ne fait aucune distinction selon l’origine des données (publiques, privées ou professionnelles) d’une personne. Ainsi, dans un environnement B2B où le client et le fournisseur sont tous deux des entreprises, la législation tient compte des personnes qui jouent un rôle dans le processus.

Le nouveau règlement de l’UE relatif à la protection des données entrera en vigueur le 25 mai 2018, au terme d’une période de transition de deux ans. À la différence d’une Directive, le RGPD ne nécessite pas de retranscription dans la législation nationale des différents États membres. Il sera donc pleinement applicable en mai 2018. Les entreprises qui ne respecteraient pas le texte après cette date encourront une amende pouvant atteindre 4 % de leur chiffre d’affaires mondial ou 20 millions d’euros, le montant le plus élevé étant retenu. Par ailleurs, un ordre de suspension des flux de données pourrait s’avérer encore plus pénalisant que les fortes amendes et demandes d’indemnisation.

Mythe RGPD n° 3 : le RGPD ne concerne que les entreprises européennes. Le RGPD s’applique aux structures implantées dans l’UE, mais aussi aux entités non domiciliées dans l’UE qui :

– Traitent des données à caractère personnel dans le cadre d’une activité ou transaction réalisée sur le territoire de l’UE,

– Assurent un suivi du comportement des personnes concernées résidentes dans l’UE.

Cet élargissement du champ d’application territorial est l’un des principaux changements apportés par le RGPD.

Si vous traitez des données à caractère personnel dans le cadre d’activités ou de transactions réalisées dans l’UE (y compris le Royaume-Uni en dépit du Brexit), votre entreprise doit se conformer au RGPD. Les entreprises spécialisées dans la gestion des services généraux, qui traitent des données opérationnelles et relatives aux actifs, mais aussi des données se rapportant aux salariés et aux utilisateurs des bâtiments, sont également concernées. Les prestataires de services de FM sont doublement exposés, car ils ont des obligations vis-à-vis de leur personnel, mais aussi des systèmes qu’ils mettent en place pour leur clientèle.

Mythe RGPD n° 4 : le RGPD ne concerne que les ressortissants et/ou résidents de l’UE. Dans le RGPD, la nationalité des personnes n’entre pas en ligne de compte. Le règlement s’applique dès lors que le responsable du traitement ou le sous-traitant (structure qui traite les données pour le compte du responsable du traitement, prestataires de services dans le cloud par ex.) est basé dans l’UE ou que les données à caractère personnel de la personne concernée sont traitées dans le cadre d’activités ou de transactions réalisées dans l’UE.

Les 10 principes directeurs du RGPD

  1. MINIMISATION DES DONNÉES – Les données collectées ne doivent pas être utilisées ni conservées plus longtemps que nécessaire eu égard aux finalités initiales.
  2. LIMITATION DES FINALITÉS – La collecte de données à caractère personnel doit répondre à des finalités déterminées, explicites et légitimes. Il est interdit de traiter ultérieurement ces données d’une manière incompatible avec ces finalités (utilisation compatible).
  3. LIMITATION DE LA CONSERVATION – Les données permettant d’identifier une personne ne peuvent être conservées pour une durée excédant celle nécessaire au regard des finalités pour lesquelles elles sont traitées.
  4. LICÉITÉ – Le traitement des données à caractère personnel doit reposer sur un fondement juridique, à savoir consentement valable, relation contractuelle, obligation légale, intérêt légitime ou vital.
  5. TRANSPARENCE – Les personnes concernées doivent être explicitement informées que des données sont collectées, de la nature de ces données, du motif de la collecte et de l’identité de l’auteur de celle-ci. Les droits des personnes concernées doivent être clairement expliqués.
  6. EXACTITUDE – Il faut veiller à ce que les données à caractère personnel soient exactes et à jour. Tous les efforts raisonnables doivent être faits pour supprimer ou corriger sans délai les données inexactes.
  7. INTÉGRITÉ – Le RGPD exige une protection appropriée contre le traitement non autorisé ou illicite des données, contre la perte de données, contre la communication illicite de données et contre l’accès illicite aux données. Vous devez connaître les risques auxquels vous exposez des tiers (préjudice ou dommage) et mettre en œuvre des mesures pour les atténuer (audits et suivi, chiffrement ou anonymisation et utilisation de technologies avancées de protection des données au vu de l’impact potentiel des violations).
  8. NOTIFICATION DE VIOLATION – Le RGPD définit des obligations de notification de violation de données à caractère personnel à l’autorité de contrôle et aux personnes concernées.
  9. RESPONSABILITÉ – Le responsable du traitement est tenu de veiller à la conformité au RGPD et doit être en mesure de démontrer celle-ci (tenue d’un registre de l’ensemble des activités de traitement).
  10. PORTABILITÉ DES DONNÉES – Droit de transférer des données à caractère personnel d’un prestataire de services à un autre.
Mythe RGPD n° 5 : les données à caractère personnel sont des informations sur une personne. Les données à caractère personnel sont des informations relatives à une personne physique (« personne concernée ») pouvant être utilisées pour identifier directement ou indirectement ladite personne. Il peut s’agir d’un nom, d’une photographie, d’une adresse e-mail, de l’adresse IP d’un ordinateur ou d’un cookie, mais aussi de coordonnées GPS, d’un numéro de compte bancaire ou d’une plaque d’immatriculation. Il peut également s’agir d’un rapport d’inspection ou d’un ticket correspondant à une prestation de FM, voire de données encore plus sensibles relatives à la santé ou à la rémunération. Les enregistrements de vidéosurveillance et les données collectées par un système de contrôle d’accès sont également concernés.

Le RGPD et la gestion des services généraux

Dans le cadre de leurs activités, les entreprises de services généraux (et leurs prestataires externes) collectent des données à caractère personnel sur leurs équipes (de terrain) et les occupants des bâtiments. Il est crucial de réaliser un audit des données afin de déterminer comment les données à caractère personnel sont collectées et gérées actuellement. De fait, les acteurs du FM devront connaître la nature des données qu’ils détiennent sur chaque personne et le lieu précis où elles sont conservées. Si les données sont stockées de façon centralisée, cela ne devrait pas être trop difficile. Toutefois, les choses se compliquent si vous utilisez des systèmes papier pour vos workflows ou si les données sont éparpillées un peu partout dans de multiples outils et feuilles de calcul.

Mythe RGPD n° 6 : le RGPD ne s’applique qu’aux documents numériques. Les documents papier comportant des données à caractère personnel relèvent également du RGPD. Le type de support utilisé n’entre pas en ligne de compte.

Les logiciels de FM intégrés (à savoir IWMS/FMAO) tournant avec une seule base de données conservent l’ensemble des données dans un répertoire central. Ce système permet de contrôler, mettre à jour et sécuriser plus facilement les informations, ainsi que d’éviter les doublons et les incohérences (principe « d’exactitude des données »).

Le département FM d’une entreprise ne fonctionne bien évidemment pas en vase clos. En tant que Responsable de la gestion des services généraux, nous vous invitons à solliciter l’aide de votre Responsable de la protection des données personnelles (si ce poste existe dans votre structure). Vous pouvez également vous concerter avec le Responsable vie privée de votre entreprise pour veiller à la conformité au RGPD.

Il est impératif que les spécialistes du FM se penchent sur la manière dont leurs partenaires commerciaux et prestataires de services protègent les données à caractère personnel qui leur sont confiées, car la responsabilité desdites données continue à leur incomber. Ils sont donc tenus de veiller à ce que leurs partenaires et prestataires de services fassent leur part eu égard aux exigences du RGPD.

Mythe RGPD n° 7 : le RGPD ne concerne que les données fournies par les utilisateurs. Non, le texte s’applique à toutes les données à caractère personnel, qu’elles aient été directement fournies par la personne concernée ou collectées de manière indirecte.

Qu’en est-il de la conformité des logiciels de FM ?

Soyons clairs, un logiciel est un outil, il ne garantit pas automatiquement que vos activités et le traitement des données respectent le RGPD. Il peut néanmoins faciliter la gestion des données et le respect du RGPD. Les logiciels de FM qui centralisent toutes les données présentent un intérêt indéniable, tout comme la possibilité de conférer des droits d’accès adaptés. Cette fonctionnalité empêchera efficacement les personnes d’accéder à des données à caractère personnel qui ne les concernent pas. Sachant que le RGPD insiste sur la sécurité des données, la capacité à protéger les données à caractère personnel (sensibles) à la source est vitale. Pour ce faire, il est possible de chiffrer les données. C’est là un autre avantage clé qu’un logiciel peut offrir. Votre fournisseur de logiciel de FM doit comprendre les enjeux et faire évoluer sa solution pour garantir la conformité au RGPD.

Chez MCS Solutions, nous avons, par exemple, intégré de nouvelles fonctionnalités à la prochaine édition (mars 2018) de notre plate-forme logicielle. Ces modifications tiennent compte des grands principes du RGPD tels que :

– « MINIMISATION DES DONNÉES » (champs de données à caractère personnel standard remplacés par des champs de données personnalisés)
– « DROIT À L’OUBLI » (anonymisation des données)
– « TRAÇABILITÉ » (historique complet des connexions)
– « EXACTITUDE DES DONNÉES » (faciliter la mise à jour ou la correction des données par les personnes concernées)
– « SÉCURITÉ DES DONNÉES » (chiffrement des données conservées)

Flexible et modulaire, la plate-forme IWMS conçue par MCS grandit avec votre entreprise et vous aide à relever les défis d’aujourd’hui, dont le RGPD. N’hésitez pas à contacter notre équipe si vous avez des questions portant sur la conformité au RGPD.

Lectures complémentaires

Voici des ressources utiles pour approfondir la question :

– Infographie : Le RGPD en 1 minute

Conseils de l’ICO sur le RGPD (UK Information Commissioner’s Office/Bureau du Commissaire à l’information britannique)

EU GDPR : site Internet officiel du règlement européen

Règlement dans son intégralité (99 articles)