Mise en conformité au RGPD (règlement général sur la protection des données)

Mise en conformité au RGPD

Dès le 25 mai 2018, le règlement général de protection des données (RGPD ou GPRD) du Parlement européen entrera en vigueur.

DE QUOI PARLE-T-ON ?

Nous parlons ici de données à caractère personnel; c’est un numéro ou une image contribuant à l’identification d’une personne utilisé quotidiennement pour conduire les activités d’entreprises: formulaire, vidéo surveillance, fichiers clients, fournisseurs, collaborateurs ou partenaires.

POURQUOI ?

La collecte et l’exploitation de données est au coeur de la stratégie de nombreuses entreprises. Ayant une valeur importante, les données à caractère personnel peuvent faire l’objet d’usages malveillants (reventes, spam, transactions bancaires frauduleuses, usurpations, chantages à la destruction de données, cambriolages, diffamations, menaces, agressions...). Le RGPD aurait un objectif de sécurisation de la transition digitale, de protection de la vie privée des personnes et de renfort de la confiance de ses partenaires.

 

ÉTAPES DE MISE EN CONFORMITE AU RGPD

 

I - NOMMER UN DPO SI NÉCESSAIRE


II - CARTOGRAPHIER LES TRAITEMENTS


III - PRIORISER LES ACTIONS A MENER


IV - GÉRER LES RISQUES


V - ORGANISER LES PROCESSUS INTERNES

VI - DOCUMENTER LA CONFORMITE

 

 

I - NOMMER UN DPO SI NÉCESSAIRE

RôLE?

Nouvelle mission et nouveau poste en entreprise, le DPO veille au respect du droit de la protection des données. Il doit donc s’assurer de la conformité juridique des traitements, au-delà des simples conseils et consultations.

QUI?

Le DPO est désigné sur la base de ses qualités professionnelles, en particulier de ses connaissances du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir ses missions. Il sera donc juriste, pédagogue, porte parole et informaticien.Il peut être désigné en interne ou en externe. Les organisations qui ont déjà nommé un correspondant informatique & libertés pourront faire monter ce dernier en compétences.

Le G29 recommande dans tous les cas aux organismes de réaliser une étude documentée visant à déterminer s’ils doivent ou pas désigner obligatoirement un DPO.

NOMINATION D’UN DPO OBLIGATOIRE OU PAS?

Le règlement européen prévoit que les entreprises ont l’obligation de nommer un DPO (interne ou externe) essentiellement dans 3 cas:

1 - Les autorités ou les organismes publics (les administrations, les ministères...) ;

2 - Les organismes (les entreprises, pour être plus clair) dont les activités imposent de réaliser un suivi « régulier et systématique », à grande échelle, des personnes ;

3 - Les organismes dont les activités de base leur imposent de traiter « à grande échelle » des données considérées comme sensibles (les données génétiques, biométriques, afférentes à la santé, à la religion, aux opinions politiques ou à l’appartenance syndicale...) ou des données en lien avec des condamnations pénales et/ou des infractions.

En clair :

Un « suivi régulier » serait un suivi « continu ou ponctuel », « récurrent ou itératif », « en cours ou se produisant pendant des périodes données ».

Un suivi « systématique » serait tout suivi « prévu, organisé ou méthodique ».

Un suivi à « grande échelle » se déterminerait selon le nombre de personnes concernées évidemment, mis en rapport avec le volume des données collectées, la durée de traitement et le périmètre géographique en question.

Attention, le DPO peut être facultatif, mais la conformité au RGPD reste obligatoire.

Ainsi, tous doivent permettre aux personnes concernées par le traitement des données :

  • D’avoir accès aux données les concernant ;
  • De les modifier ;
  • De les supprimer (c’est ce que l’on appelle « droit à l’oubli ») ;
  • D’en limiter l’accès ;
  • De les transférer à un autre acteur économique ou institutionnel...

Le tout dans un délai raisonnable, de l’ordre de moins d’un mois. Autant dire que la CNIL s’attache à rappeler que si le DPO n’est pas stricto sensu obligatoire, il n’en est pas moins conseillé. Qu’il soit interne ou externe à la structure.

 

II - CARTOGRAPHIER LES TRAITEMENTS

Cela consiste en la création d’une documentation interne complète (registre) sur le traitement des données personnelles contenant :

  • Les différents traitements des données personnelles
  • Les catégories de données personnelles traitées
  • Les objectifs du traitement de ces données
  • Les acteurs (internes ou externes) qui traitent ces données. Il faudra clairement identifier les prestataires sous-traitants afin d’actualiser les clauses de confidentialité.
  • Les flux en indiquant l’origine et la destination des données.

En détail, pour chaque traitement de données personnelles se poser ces questions:


QUI ?

  • Inscrivez dans le registre le nom et les coordonnées du responsable du traitement (et de son représentant légal) et, le cas échéant, du délégué à la protection des données
  • Identifiez les responsables des services opérationnels traitant les données au sein de votre organisme
  • Etablissez la liste des sous-traitants.

QUOI ?

  • Identifiez les catégories de données traitées
  • Identifiez les données susceptibles de soulever des risques en raison de leur sensibilité
  • particulière (par exemple, les données relatives à la santé ou les infractions)

POURQUOI ?

    • Indiquez la ou les finalités pour lesquelles vous collectez ou traitez ces données (exemple : gestion de la relation commerciale, gestion RH…)

OÙ ?

  • Déterminez le lieu où les données sont hébergées.
  • Indiquez quels pays les données sont éventuellement transférées.

JUSQU’À QUAND ?

  • Indiquez, pour chaque catégorie de données, combien de temps vous les conservez.

COMMENT ?

  • Quelles mesures de sécurité sont mises en œuvre pour minimiser les risques d’accès non autorisés aux données et donc d’impact sur la vie privée des personnes concernées.

 

III - PRIORISER LES ACTIONS À MENER

Grâce au registre, il faut ensuite identifier, évaluer et prioriser les risques que font peser les traitements effectués par l’entreprise sur les droits et les libertés des personnes concernées.

Points d’attention quels que soient les traitements:

  • Ne collecter et traiter que les données strictement nécessaires à la poursuite des objectifs de l’entreprise
  • Identifier la base juridique sur laquelle se fonde le traitement (par exemple : consentement de la personne, intérêt légitime, contrat, obligation légale)
  • Réviser les mentions d’information afin qu’elles soient conformes aux exigences du règlement
  • Vérifier que les sous-traitants connaissent leurs nouvelles obligations et leurs responsabilités et s’assurer de l’existence de clauses contractuelles rappelant les obligations de celui-ci en matière de sécurité, de confidentialité et de protection des données personnelles traitées.
  • Prévoir des modalités d'exercice des droits des personnes concernées (droit d'accès, de rectification, droit à la portabilité, retrait du consentement...)
  • Vérifiez les mesures de sécurité mises en place.

Si les traitement répondent à des caractéristiques nécessitant une vigilance particulière, des mesures particulières peuvent s’appliquer (exemple : étude d'impact sur la protection des données (PIA), information renforcée, recueil du consentement, autorisation préalable, clauses contractuelles, ). Une analyse approfondie de la loi informatique libertés et du règlement est nécessaire pour déterminer les mesures à mettre en œuvre.


Exemples de caractéristiques nécessitant une vigilance particulière:

  • Caractéristique ethnique, raciale, politique, d’orientation sexuelle, religieuse, d’appartenance syndicale, génétique ou biométrique, d’infraction ou de condamnation pénale, concernant des mineurs ...
  • Surveillance systématique à grande échelle de zone accessible au public;
    L'évaluation systématique et approfondie d'aspects personnels, y compris le profilage, sur la base de laquelle vous prenez des décisions produisant des effets juridiques à l'égard d’une personne physique ou l'affectant de manière significative;
  • Transfert de données en dehors de l’union européenne.

 

IV - GÉRER LES RISQUES

En cas de traitements de données personnelles susceptibles d’engendrer des risques élevés, il faudra mener pour chacun de ces traitements une analyse d’impact sur la protection des données (PIA).

QU’EST CE QUE LE PIA?

C’est une étude permettant de démontrer la conformité de son traitement au RGPD et un outil d’évaluation d’impact sur la vie privée reposant sur 2 piliers :

1 - Les droits fondamentaux, « non négociables », fixés par la loi qui ne peuvent faire l’objet d’aucune modulation, quelles que soient la nature, la gravité et la vraisemblance des risques encourus ;

2 - La gestion des risques sur la vie privée des personnes concernées, qui permet de déterminer les mesures techniques et d’organisation appropriée pour protéger les données personnelles.

QUE CONTIENT LE PIA?

  • Une description du traitement étudié et de ses finalités.
  • Une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités
  • Une évaluation des risques pour les droits et libertés des personnes concernées les mesures envisagées pour faire face aux risques.

QUAND RÉALISER UN PIA?

Le PIA est une bonne pratique mais devient obligatoire pour tout traitement susceptible d’engendrer des risques élevés pour les droits et libertés des personnes concernées.

En clair, Si votre traitement rencontre au moins 2 des critères suivant, alors il est vivement conseillé de faire un PIA.

  • Évaluation ou notation;
  • Décision automatisée avec effet juridique ou effet similaire significatif;
  • Surveillance systématique ;
  • Données sensibles ou données à caractère hautement personnel ;
  • Données personnelles traitées à grande échelle ;
  • Croisement d’ensembles de données ;
  • Données concernant des personnes vulnérables ;
  • Usage innovant ou application de nouvelles solutions technologiques ou organisationnelles ;
  • Exclusion du bénéfice d’un droit, d’un service ou contrat.

 

V - ORGANISER LES PROCESSUS INTERNES


Pour garantir un haut niveau de protection des données personnelles en permanence, il est nécéssaire de mettre en place des procédures internes qui garantissent la protection des données à tout moment, en prenant en compte l’ensemble des événements qui peuvent survenir au cours de la vie d’un traitement (ex : faille de sécurité, gestion des demande de rectification ou d’accès, modification des données collectées, changement de prestataire).


Exemple d’étapes du processus:

  • Prendre en compte de la protection des données personnelles dès la conception d’une application ou d’un traitement (minimisation de la collecte de données au regard de la finalité, cookies, durée de conservation, mentions d’information, recueil du consentement, sécurité et confidentialité des données s’assurer du rôle et de la responsabilité des acteurs impliqués dans la mise en œuvre de traitements de données).
  • Sensibiliser et organiser la remontée d’information en construisant notamment un plan de formation et de communication auprès des collaborateurs.
  • Traiter les réclamations et les demandes des personnes concernées quand à l’exercice de leurs droits (droits d’accès, de rectification, d’opposition, droit à la portabilité, retrait du consentement) en définissant les acteurs et les modalités (l'exercice des droits doit pouvoir se faire par voie électronique, si les données ont été collectées par ce moyen)
  • Anticiper les violations de données en prévoyant, dans certains cas, la notification à l’autorité de protection des données dans les 72 heures et aux personnes concernées dans les meilleurs délais.

 

VI - DOCUMENTER LA CONFORMITÉ

Cette documentation permet d’étayer le dossier démontrant le respect des obligations prévues et donc la conformité au RGPD.

ÉLÉMENTS DU DOSSIER

La documentation sur vos traitements de données personnelles :

  • Le registre des traitements (pour les responsables de traitements) ou des catégories d’activités de traitements (pour les sous-traitants)
  • Les analyses d’impact sur la protection des données (PIA) pour les traitements susceptibles
    d'engendrer des risques élevés pour les droits et libertés des personnes
  • L'encadrement des transferts de données hors de l'Union européenne (notamment, les clauses contractuelles types, les BCR et certifications)

L’information des personnes :

  • Les mentions d’information
  • Les modèles de recueil du consentement des personnes concernées
  • Les procédures mises en place pour l'exercice des droits

Les contrats qui définissent les rôles et les responsabilités des acteurs :

  • Les contrats avec les sous-traitants
  • Les procédures internes en cas de violations de données
  • Les preuves que les personnes concernées ont donné leur consentement lorsque le traitement de leurs données repose sur cette base.

 

 

Nous tenons à votre disposition des documents relatifs au RGPD (exemple de registre, formulaire de désignation du DPO etc... ). N’hésitez pas à nous consulter.