Comment organiser mon AG à distance en respectant le réglement général de protection des données (RGPD) ?

Le Règlement Général de Protection des Données 2016/679 du 27/04/2016 applicable au 25/05/2018 trouvera à s’appliquer pour les assemblées générales à distance.

Quelles sont les données à protéger ?

« Toute information se rapportant à une personne physique identifiée ou identifiable … directement ou indirectement…» est une donnée à caractère personnelle (art. 4-1 RGPD)

Dans le cadre de l’organisation des assemblées générales à distance, les informations collectées sur les associés entrent dans cette catégorie. Pour l’organisation de votre AG, vous aurez à collecter :

  • Pour la convocation à l’AG : la liste des associés et leurs données (nom, prénom, adresse, montant de leur participation, courriel) ;
  • Pour l’identification sur la plateforme de communication à distance : les identités des associés (indirectement leurs IP), notamment à l’occasion de leur identification au moyen d’un code unique (envoyé 15 jours avant la tenue de l’assemblée par courriel) ;
  • Pour la tenue de l’assemblée : le relevé des votes de chacun des associés, la feuille de présence, le cas échéant, les représentations et les qualités des associés, le relevé des délibérations nominatives relatives à un associé (exclusion, rémunération, nomination, conventions)
  • Pour la rédaction du procès verbal et sa diffusion : les informations ci-dessus présentées archivées, la délivrance auprès du greffe des informations.

Sur qui pèsent ces obligations ?

Toute « personne physique ou morale exerçant une activité économique, quelle que soit sa forme juridique » (art. 3 RGPD, 4-18 et [99 du RGPD) doit s’y conformer. Aussi, la société, en qualité de personne morale, et son mandataire, le cas échéant, devront répondre de ces obligations.

Qu’est-ce que le traitement des données personnelles ?

« la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction » sont autant d’opérations considérées comme un traitement de données personnelles (art. 4-2 RGPD).

Or, le traitement doit demeurer « licite, loyal et transparent » (art. 5 RGPD et 6 RGPD) ; dans certains cas, vous devrez, même, mener une véritable étude d’impact préalable. (art. 35 RGPD).

Avant le traitement des données, utiles à l’organisation de l’assemblée générale, il sera donc, nécessaire, a minima, d’auditer chaque catégorie de données collectées. En pratique, la mise à jour du registre des activités de traitement est indispensable, notamment la fiche récapitulative des traitements et la fiche de traitement spécifique à l’assemblée.

Cet état des lieux est un préalable indispensable pour adopter un traitement documenté suivi et approprié.

Rôle du responsable du traitement et du délégué à la protection des données.

Le responsable du traitement (art.4-7 RGPD), doit mettre « en œuvre des mesures techniques et organisationnelles appropriées » « pour garantir un niveau de sécurité adapté au risque » (considérant 78, art. 24, et s.RGPD ; art. 27 et s. RGPD pour le sous-traitant ; considérant 81 et art. 32 pour la sécurité du traitement).

Ainsi, celui-ci tiendra le registre des activités de traitement effectuées sous sa responsabilité. Par ailleurs, il veillera à ce que « chaque sous-traitant et, le cas échéant, le représentant du sous-traitant » s’impose les mêmes diligences (art. 30 RGPD), au 5e paragraphe dudit article, il est prévu une dérogation en matière de tenue de registre pour les entreprises comptant moins de 250 employés).

Le responsable du traitement est, par conséquent, :

  • chargé de « l’accountability », c’est à dire des relations avec l’autorité de contrôle, la CNIL en France (art. 31 RGPD). C’est à lui de tenir à jour le registre du traitement des données à l’occasion de l’assemblée générale ;
  • chargé de vérifier le respect des règles auprès des sous-traitants, le cas échéant, dès lors que vous utiliserez des logiciels (fournis par des sous-traitants) pour organiser votre assemblée générale à distance. Il conviendra, alors, de vérifier s’il intervient hors UE, auquel cas, identifier les dispositions applicables en termes de protection des données voire contractualiser un complément de protection en adéquation avec votre politique (Zoom “Etats Unis” s’engage à respecter RGPD ; skype “Etats Unis” idem ; Google Meet “Etats Unis” idem ; OVH Télécom “Union Européenne”) ;
  • il a un devoir d’alerte en cas de violation des données (art. 33 RGPD). Aussi, dès lors que vous constatez une perte de données et / ou un accès anormal, prévenir la CNIL est indispensable.

Le responsable du traitement des données pourra utilement, à l’occasion de l’organisation de l’AG, s’appuyer sur le délégué à la protection des données (DPD). Ses coordonnées ont normalement été communiquées à la CNIL (depuis le 25 mai 2018). A défaut, la désignation d’un DPD / DPO renforcera votre politique de protection. Plus largement, la CNIL encourage chaque structure à désigner un délégué à la protection des données (data protection officer, DPO), en interne ou de manière externalisée (il est obligatoire dans certains cas : (cf. art. 37 et s RGPD).).

Le droit des personnes concernées

La collecte de données doit être assortie d’un consentement “libre et éclairé” (considérants 32 et 58, art. 4-11 RGPD). Outre, à l’occasion de l’envoi de la convocation, le rappel de la présente obligation ; il est recommandé de confirmer, en début d’assemblée générale que l’ensemble des associés présents consent à la collecte de données ceci matérialisé par une résolution (et le cas échéant, l’établissement d’une liste des personnes s’y refusant) ;

Au surplus, il sera utile d’ajouter, dans une logique de transparence (considérants 42, 59 et 65, art. 7, 15, 16, 17, 21 RGPD):

  • des informations sur le responsable du traitement des données, son identité et ses coordonnées ;
  • le cas échéant, les coordonnées du délégué à la protection des données ;
  • « les finalités du traitement auquel sont destinées les données à caractère personnel », à savoir la tenue de l’assemblée générale, son enregistrement et son archivage ;
  • « la base juridique du traitement » (en l’espèce le code de commerce et vos statuts) ;
  • « la durée de conservation des données à caractère personnel » ;
  • « le droit d’introduire une réclamation auprès d’une autorité de contrôle » (art. 13 RGPD) ;
  • La durée sur laquelle s’engage le responsable du traitement des données pour exécuter le traitement, en général 15 jours.

Enfin, les associés bénéficieront d’une information sur leurs droits :

  • Droit d’accès (article 15 RGPD)
  • Droit de rectification (article 16 RGPD)
  • Droit à l’effacement (droit à l’oubli) (article 17 RGPD)
  • Droit à la limitation du traitement (article 18 RGPD)
  • Droit à la portabilité des données (article 20 RGPD)
  • Droit d’opposition (article 21 RGPD)