Le RGPD s’applique-t-il aussi aux données des visiteurs de votre entreprise ?

Les personnes qui pénètrent dans les locaux de votre entreprise y laissent-elles des données à caractère personnel ? La réponse sera très souvent affirmative, si par exemple vous tenez un registre des visiteurs ou si votre immeuble est protégé par des caméras de surveillance.

Qui dit données à caractère personnel dit immédiatement RGPD. Quelles sont dès lors les conséquences de l’entrée en vigueur du RGPD sur ces deux hypothèses ?

Cet article se penche sur la première hypothèse : le registre des visiteurs. Le cas des caméras de surveillance sera évoqué dans une prochaine actualité.

Registre des visiteurs

gdpr-donneesdesvisiteurs-artikel

Si un calepin à l’accueil de vos bureaux doit être complété par les visiteurs ou si le réceptionniste prend note de leurs coordonnées pour émettre un badge, des données à caractère personnel (nom, entreprise, plaque d’immatriculation etc.) sont bien collectées.

Dans le cas du calepin, on n’est pas face à un traitement informatisé. Le RGPD ne s’applique donc pas automatiquement. En effet, pour des traitements « papier », le RGPD ne s’applique que si les données figurent dans un fichier, c’est-à-dire sont classées, organisées. C’est logique puisque si les données sont classées, elle sont accessibles et ont donc besoin d’être protégées.

Dans notre hypothèse, le calepin est complété par ordre chronologique d’arrivée de visiteurs, de sorte qu’on peut facilement retrouver qui est venu à un moment donné. Le calepin peut donc être interprété comme étant un fichier, ce qui entraînera l’application du RGPD.

Qu’il s’agisse d’un registre papier ou informatique, les mêmes principes doivent donc être appliqués :

Fondement juridique du traitement :

Dès lors qu’il s’agit probablement de protéger les locaux, les biens et l’activité de votre entreprise, celle-ci pourra invoquer son intérêt légitime à traiter ses données.

Minimisation des données collectées :

La Commission vie privée a récemment fait savoir que les registres des visiteurs qui se bornent à recenser le nom du visiteur, son adresse professionnelle, son employeur, son véhicule et la personne qu’il vient rencontrer (nom, section, fonction) ne doivent pas être précédés d’une analyse d’impact. À notre estime, la date et l’heure de la visite y implicitement inclues, au risque de priver le registre des visiteurs de toute utilité.

Même si l’on peut douter que ce type traitement de données présente un risque élevé pour les visiteurs s’il contient d’autres données, au point qu’il nécessite une analyse d’impact, cette recommandation de la Commission donne à tout le moins une indication sur les informations qu’elle considère raisonnable de récolter.

Cela signifie en tous cas que si votre entreprise souhaite collecter d’autres types d’information, elle devra pouvoir justifier vis-à-vis de la Commission lors d’un contrôle ou vis-à-vis d’un visiteur qui exercerait les droits prévus par le RGPD :

  • les motifs qui justifient cette collecte plus étendue,
  • les raisons pour lesquelles elle n’a pas effectué d’analyse d’impact alors qu’elle sort du cadre strict de l’exemption prévue par la Commission.

Il semble donc plus simple de s’en tenir au minimum contenu dans la recommandation de la Commission.

Limitation de la durée de conservation :

Dans la même recommandation, la Commission rappelle que le registre ne peut pas être conservé plus longtemps que le temps nécessaire au contrôle des accès.   

Il faut donc prévoir de changer régulièrement ce registre ou d’enlever les feuillets trop anciens, afin d’éviter qu’un visiteur désœuvré ne puisse consulter les six derniers mois pendant qu’il attend son rendez-vous.

Accès uniquement par les membres du personnel autorisés :

Votre entreprise doit pouvoir justifier que le registre ne peut pas être consulté par tous les membres du personnel qui passent à l’accueil. Il est donc sage de définir des règles de conduite.

Inscription dans le registre des traitements :

Comme pour tous les traitements de données réalisés par votre entreprise, le traitement des données des visiteurs devra être mentionné dans le registre des traitements, puisque les entreprises exemptées de tenir ce registre sont peu nombreuses. La Commission suggère un modèle pour ce registre qui pourra vous être utile.

Information des visiteurs

De même, comme pour tout traitement, les détails de celui-ci doivent être communiqués à la personne concernée. Votre entreprise ne peut en effet pas supposer que le visiteur est suffisamment informé au sujet du traitement de ses données parce qu’il a lui-même complété un calepin. Il doit notamment savoir pourquoi et combien de temps ses coordonnées seront conservées.

Concrètement, il n’est toutefois pas obligatoire de faire signer une police vie privée à chaque visiteur ! On peut imaginer un affichage sur le comptoir d’accueil ou un marque-page toujours visible dans le calepin qui reprenne ces mentions.

Démontrez de cette manière à vos clients dès leur arrivée dans vos locaux qu’ils ont affaire à une entreprise sérieuse.

 

 

Fanny COTON

fanny-coton

Fanny COTON est une collaboratrice senior du cabinet d’avocat LEXING. Avocate du barreau de Liège depuis 2006, elle est spécialiste en droit de la vie privée. Elle conseille couramment des entreprises et des administrations au sujet de traitements de données à caractère personnel. Elle est l’auteur de nombreux articles dans ce domaine et intervient fréquemment dans des séminaires au sujet du Règlement général sur la protection des données.

 

 

  1017
When you have to be right
Disclaimer
Conditions générales
Privacy
Politique en matière de cookies
© 2018 Wolters Kluwer Belgique