Êtes-vous prêt à affronter le RGPD ?

RGPD… GDPR (version british) … vous rencontrez sans cesse ces 4 lettres depuis quelque temps. Vous l’avez bien compris, cela concerne les Données à Caractère Personnel (DCP) que les entreprises collectent, conservent et traitent à des fins marketing et commerciales.
Mais le sujet vous semble bien vaste et compliqué. Normal, le sujet est vaste et compliqué. Mais des solutions existent pour vous aider à vous mettre en conformité.


Le Règlement Général sur la Protection des Données - RGPD - entrera en vigueur dès le 25 mai dans tous les pays de l’Union Européenne. Sa mission est de renforcer, unifier et encadrer la protection des données personnelles des citoyens européens. Il consacre et conforte les grands principes de la loi Informatique et Libertés, en vigueur depuis 1978, et des différentes directives liées.

Le RGPD accroît donc considérablement les droits des citoyens en leur donnant plus de contrôle sur leurs données.

Voilà qui est super pour les citoyens, mais pour les entreprises et établissements publics… un vrai casse-tête !
Pour se mettre en conformité avec le RGPD, ils devront accomplir un certain nombre d’étapes techniques et organisationnelles.

La CNIL est chargée de veiller à la mise en œuvre de la conformité au RGPD des entités économiques Françaises. En cas de défaillance, les sanctions iront d’un simple avertissement à une amende pouvant atteindre 4 % du chiffre d’affaire, voire 20 000 000 € pour les multinationales.

Le RGPD, un nouveau cadre législatif incontournable

Le Règlement Général sur la Protection des Données - RGPD - (GDPR, pour General Data Protection Regulation en anglais) est une nouvelle directive européenne visant à encadrer le traitement et la circulation des données à caractère personnel. Elle s’applique à toute entreprise ou à tout organisme - membre de l’union européenne ou pas - qui collecte, conserve et traite les données personnelles des citoyens européens.

Les principaux objectifs du RGPD

RGPD

Le règlement voté par le parlement européen le 27 avril 2016 vise à assurer la protection de la vie privée des résidents de l’Union Européenne à travers 3 axes :

  • Protéger les personnes physiques au niveau du traitement des données à caractère personnel et de leur circulation ;
  • Harmoniser les règles encadrant la collecte et l’usage des données personnelles au sein des 28 pays de l’Union européenne ;
  • Responsabiliser les acteurs économiques qui conservent et utilisent les informations qu’ils ont collectées, plus ou moins à l’insu de leur propriétaire, en vue d’une monétisation.

Quelle est la définition d’une donnée personnelle ?

Une Donnée à Caractère Personnel (DCP) est une information qui permet d’identifier une personne physique, directement ou indirectement. Il peut s’agir d’un nom, d’un numéro de téléphone, d’une adresse postale, e-mail ou IP, d’un numéro de sécurité sociale, mais aussi d’une photo, d’une empreinte, d’un enregistrement vocal…

Certaines informations considérées comme sensibles relèvent d’un dispositif particulier interdisant toute collecte préalable sans consentement écrit, clair et explicite.
On retient par "informations sensibles": opinion politique, appartenance religieuse ou ethnique, engagement syndical, orientation sexuelle, situation médicale ou idées philosophiques.

Certains cas relevant de l’intérêt public nécessitent même une validation par la Cnil.

Les droits fondamentaux du RGPD

RGPG, droit fondamentaux

Le droit à l’information

Les utilisateurs devront être informés de toute collecte de données les concernant et devront donner leur consentement explicite.

Le droit d’accès aux données personnelles

Les utilisateurs pourront demander un accès à leurs données personnelles et exiger une réponse quant à l’usage que vous en faites.

Le droit à l’oubli

Un client pourra à tout moment retirer son consentement à l’utilisation de ses données par votre entreprise.

Le droit à la portabilité des données

Les utilisateurs auront le droit de récupérer leurs données à des fins de réutilisation par un autre fournisseur de service.

Le droit de notification

En cas de fuite de données concernant un utilisateur, celui-ci devra être informé dans un délai de 72h suivant la découverte du dysfonctionnement.

Qui est concerné par le RGPD ?

Certains supposent à tort que le RGPD ne concerne que les GAFA, vous savez ces géants du web dont on taira les noms.

Et bien non, ces nouvelles directives concernent toutes les données personnelles dès l’instant où elles appartiennent à un citoyen européen et ce même si le collecteur ne siège pas dans l’union européenne.

Ces dispositions ne s’appliquent pas uniquement aux relations commerciales des entreprises (clients, prospects, fournisseurs). Elles concernent aussi les informations que les employeurs détiennent sur leurs salariés.

En bref, le RGPG s’adresse à tout organisme privé ou public, européen ou non, collectant des données personnelles de citoyens européens.

Les sanctions prévues en cas de non-respect de la nouvelle réglementation concernant les données à caractère personnel

Afin de s’assurer du respect de ces nouvelles directives, l’Union Européenne a défini un large choix de mesures dissuasives allant d’un simple avertissement à des sanctions administratives et financières.

L’application de ces sanctions concerne toute organisation qui n’a pas respecté les dispositions du RGPG à l’encontre des citoyens européens, mais aussi à ses sous-traitants, rendant ainsi solidaires les intervenants.

La Commission Nationale de l'Informatique et des libertés (CNIL) est chargée du contrôle de la mise en application du RGPG. En cas d’infraction, elle pourra dans un premier temps prononcer un avertissement à l’encontre de l’organisation en faute.

Si cette dernière ne met pas en place rapidement des solutions répondant aux exigences du RGPD, l‘entreprise recevra alors une mise en demeure.

L’autorité de contrôle a également le pouvoir de limiter, rectifier effacer ou même interrompre totalement le traitement des données personnelles.

Elle pourra, le cas échéant appliquer des amendes administratives dont le montant pourra varier suivant différents paramètres (nature, gravité de la fraude…) de 2 à 4 % du chiffre d’affaire et jusqu’à 20 000 000 euros pour les multinationales répondant aux infractions les plus graves.

Les sanctions financières sont bien plus conséquentes que celles prévues par la loi Informatique et libertés de 1978 qui prévoyait un maximum 300 000 € d'amende.

Outre l’impact financier qui pourrait menacer la pérennité de l’entreprise, de telles sanctions nuiraient fortement à son image de marque et à sa réputation et pourraient conduire à la perte de clients.

Comment se mettre en conformité avec la RGPD en 6 étapes ?

RGPD

Désigner un « Data Protection Officer »

Le RGPD recommande de désigner un Délégué à la Protection de Données (Data Protection Officer – DPO). Véritable chef d’orchestre, il exercera une mission d’information, de conseil et de contrôle en interne au sein de l’entreprise ou de l’organisation.

Dans quels cas le DPO est-il obligatoire ?

  • Pour les traitements réalisés par une autorité ou un organisme public ;
  • Pour les organismes ayant pour activité de base des opérations de traitement nécessitant le suivi régulier et systématique des personnes à grande échelle ;
  • Pour les organismes ayant pour activité de base le traitement à grande échelle de données dites « sensibles » ou relatives aux condamnations pénales et infractions.

Le traitement des données personnelles faisant de nos jours partie intégrante de la vie des entreprises, ces spécifications rendent la désignation d’un DPO obligatoire pour la grande majorité des entreprises..

Le rôle du délégué à la protection des données

Le DPO est chargé de mettre en place et conduire une politique de mise en conformité au RGPG.

Ses missions sont donc de :

  • Informer et conseiller le responsable de traitement, les employés, mais aussi les éventuels sous-traitants ;
  • Contrôler le respect du règlement et du droit national en matière de protection des données ;
  • Conseiller l’organisme sur la réalisation d’études d'impact relatives à la protection des données et d’en vérifier l’exécution ;
  • Coopérer avec l’autorité de contrôle et d’être le point de contact de celle-ci.

Les actions du DPO

Pour mener à bien cette mise en conformité et veiller à sa continuité dans le temps, le DPO devra impérativement :

  • S’informer sur le contenu des nouvelles obligations ;
  • Sensibiliser les décideurs sur l’impact de ces nouvelles règles ;
  • Réaliser l’inventaire des traitements de données de votre organisme ;
  • Concevoir des actions de sensibilisation ;
  • Piloter la conformité en continu.

Cartographier le traitement de données personnelles

Pour répondre à l’obligation de mesurer l’impact du nouveau règlement sur la protection des données de votre activité, vous devez commencer par recenser tous les traitements de données personnelles qui sont effectués au sein de votre société et de les consigner dans un registre, qui sera bien entendu mis à jour régulièrement.

Pour ce faire, vous devez au préalable répertorier avec précision  :

  • Les différents traitements de données personnelles ;
  • Les catégories de données personnelles traitées ;
  • Les objectifs poursuivis par les opérations de traitements de données ;
  • Les acteurs (internes ou externes) qui traitent ces données. Vous devrez notamment clairement identifier les prestataires sous-traitants afin d’actualiser les clauses de confidentialité ;
  • Les flux en indiquant l’origine et la destination des données, afin notamment d’identifier les éventuels transferts de données hors de l'Union européenne.

Pour chaque traitement de données personnelles, vous devez appliquer la règle des 5 W.

Who - Qui ?

  • Inscrivez dans le registre le nom et les coordonnées du responsable du traitement (et de son représentant légal) ainsi que du délégué à la protection des données, s’il y en a un ;
  • Identifiez les responsables des services opérationnels traitant les données au sein de votre organisme ;
  • Établissez la liste des sous-traitants.

What – Quoi ?

  • Identifiez les catégories de données traitées ;
  • Relevez les données susceptibles de soulever des risques en raison de leur sensibilité particulière (par exemple, les données relatives à la santé ou les infractions)

Why - Pourquoi ?

  • Indiquez la ou les finalités pour lesquelles vous collectez ou traitez ces données (exemple : gestion de la relation commerciale, gestion RH…).

Where - où ?

  • Déterminez le lieu où les données sont hébergées.
  • Indiquez dans quels pays les données sont éventuellement transférées.

When – jusqu’à Quand ?

  • Indiquez, pour chaque catégorie de données, combien de temps vous les conservez.

Vous devez également décrire les mesures de sécurité que vous allez mettre en œuvre pour minimiser les risques d’accès non autorisés aux données et donc d’impact sur la vie privée des personnes concernées.

Prioriser les actions à mener

Pour vous conformer aux obligations actuelles mais aussi futures, vous devrez mettre en place un plan d’action. Pour cela, il vous faudra identifier ces actions, mais aussi établir un ordre de priorité. Certaines de ces actions peuvent être réalisées simplement et rapidement.

Le facteur « risque » est un critère de priorisation. Il s’agit de déterminer l’impact du traitement des données sur les libertés des personnes concernées.

Vous devrez veiller à ne collecter que les données strictement nécessaires à la poursuite de vos objectifs.

Vous devez également :

  • Identifier le cadre légal sur lequel se fonde votre traitement (consentement, intérêt légitime, contrat, obligation légale…) ;
  • Réviser vos mentions d’information afin qu’elles soient conformes aux exigences des articles 12 à 14 du RGPG ;
  • Vous assurer que vos sous-traitants connaissent leurs nouvelles obligations et leurs responsabilités !
  • Vérifier si vos contrats avec vos sous-traitants comprennent bien des clauses concernant les obligations du sous-traitant en matière de sécurité, de confidentialité et de protection des données personnelles traitées.
  • Prévoir les modalités d'exercice des droits fondamentaux (droit d'accès, de rectification, droit à la portabilité, retrait du consentement...)
  • Contrôler que les mesures de sécurité sont bien mises en place.

Gérer les « risques élevés » en réalisant un PIA

Une analyse d’impact ou en anglais Privacy Impact Assessment (PIA) est obligatoire pour tout traitement susceptible d'engendrer des risques élevés pour les droits et libertés des personnes concernées (Article 35 du RGPD).

« Lorsqu'un type de traitement en particulier est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable effectue, avant le traitement, une analyse de l’impact des opérations de traitement envisagées sur la protection des données à caractère personnel.»

Il s’agit de réaliser une étude permettant de collecter et traiter des données en respectant la vie privée de leur propriétaire et de démontrer la conformité aux dispositions prévues par le RGPD.
Son objectif est d’aider à mettre en place des traitements de données respectueux de la vie privée. Elle permettra également de démontrer la conformité au RGPD.

Cette étude d’impact repose sur une méthodologie rédigée par la CNIL. Cette méthodologie a pour fondement de mettre en corrélation le caractère vraisemblable de réalisation d’un risque avec la gravité des impacts sur la vie privée des personnes.

Organiser les processus internes

L’article 32 du RGPD précise que :

«Le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.»

Afin d’assurer une protection continue des données personnelles, il convient de définir des procédures internes qui tiennent compte de tous les événements qui peuvent survenir au cours d’un traitement (ex : faille de sécurité, gestion des demandes de rectification ou d’accès, modification des données collectées, changement de prestataire).

Il faut intégrer la notion de "protection des données personnelles" dès la conception d’une application ou d’un traitement.

Vous devrez sensibiliser et former vos collaborateurs aux nouvelles obligations relatives à la gestion des données personnelles. Un plan de formation et de communication interne pourra être mis en place.

Le traitement des réclamations et autres demandes relatives aux différents droits fondamentaux de la RGDG (accès, rectification, opposition, portabilité, retrait du consentement) doit faire l’objet d’une procédure définissant les acteurs et les modalités.

Enfin, vous devrez pouvoir répondre à l’obligation de notifier à l’autorité de protection des données dans les 72 heures et aux personnes concernées dans les meilleurs délais, toute violation de données comme le prévoit l’article 33 du RGPD :

«En cas de violation de données à caractère personnel, le responsable du traitement notifie la violation en question à l’autorité de contrôle compétente dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance. Cette notification doit décrire la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés.»

Prouver votre conformité au RGPD via une documentation à jour

Pour faire face aux potentiels contrôles de la CNIL, vous devez être en mesure de prouver votre conformité au règlement européen. Pour ce faire, vous devrez constituer un dossier regroupant la documentation nécessaire et veiller à ce qu’il soit en permanence à jour.

Ce dossier devra comporter :

  • La documentation sur vos traitements de données personnelles (registre des traitements, analyses d’impact, modalités d’encadrement des transferts de données hors Union Européenne…) ;
  • L’information des personnes (mentions d’information, modèles de recueil du consentement, procédures concernant l'exercice des droits…) ;
  • Les contrats définissant les rôles et responsabilités des acteurs (contrats de sous-traitance, procédures internes en cas de violation de données, preuves de consentement…)

Comment vont s’effectuer les contrôles au respect du RGPD ?

Dès le 25 mai 2018, les agents de la CNIL seront chargés de veiller à la mise en conformité des entreprises et autres organisations au Règlement Général à la Protection des Données.

Les contrôles de la CNIL qui s’effectuaient jusqu’à présent par rapport aux dispositions de la loi informatique et libertés de 1978 et des directives qui ont suivi, s’appliqueront dorénavant à l’ensemble des règles du RGPD.

Les procédures de contrôle resteront les mêmes : sur le site de l’entreprise, en ligne, sur audition ou convocation. Les modalités de déclenchement seront également identiques (programme annuel, plaintes…).

Les contrôles de la CNIL pourront concerner toute entreprise ou organisation publique qui réalise des traitements de données personnelles.

À travers les propos du Directeur Général de la CNIL - Jean LESSI – rapporté par Solutions Numériques en début d’année, nous pouvons espérer que les contrôles des « premiers mois » ne soient pas trop sévères, sauf en cas « de manquements manifestes et graves ». Il a également précisé que « Tout le monde ne sera pas forcément conforme le 25 mai, l’essentiel est d’avoir pris conscience et de s’engager dans cette démarche de conformité ».

En bref, l’important est d’avoir mis la machine de la conformité à la RGPD en marche et de pouvoir prouver son engagement.

A quelques semaines de l’entrée en vigueur du RGPD, vous n’êtes pas tout à fait prêt, voire pas du tout ?
Nous avons une solution logicielle unique capable d’identifier, auditer et surveiller toutes les données personnelles non structurées.

Laurence JORE
Chargée de Communication Web en freelance.

Sources : La CNIL

One thought on “Êtes-vous prêt à affronter le RGPD ?

Comments are closed.