Aller au contenu principal

Comment se conformer au RGPD

Introduction

25 mai 2018 : la naissance du règlement !

Le règlement général sur la protection des données (RGPD), ou encore GDPR (General Data Protection Regulation), constitue le texte de référence en matière de protections des données à caractère personnel. Il renforce et unifie la protection des données pour les individus au sein de l’Union européenne. Les dispositions qui en découlent sont directement applicables dans l’ensemble des 27 états membres de l’Union Européenne depuis le 25 Mai 2018.

  • Qui est concerné par le RGPD ? Le RGPD s’applique à toute organisation publique ou privée, qui traite des données personnelles, quelle que soit sa taille, son pays d’implantation et son activité.

  • Qu’est ce qu’une donnée personnelle ? Une donnée personnelle (ou donnée à caractère personnelle) est une information se rapportant à une personne physique identifiée ou identifiable de façon directe ou indirecte. Plusieurs informations regroupées pour identifier une personne en particulier deviennent de fait des données à caractère personnel.

  • Qui bénéficie de la protection des données personnelles ? Toutes les personnes physiques, c’est-à-dire tous les être humains dotés d’une personnalité juridique. Cela exclut donc les personnes morales comme les entreprises.

  • Quelles sont les sanctions encourues en cas de non respect ? Concernant la procédure ordinaire, avec le RGPD (règlement général sur la protection des données), le montant des sanctions pécuniaires peut s’élever jusqu’à 20 millions d’euros ou dans le cas d’une entreprise jusqu’à 4 % du chiffre d’affaires annuel mondial. Ces sanctions peuvent être rendues publiques.

Les six étapes pour vous mettre en conformité

Étape 1 : Désigner un pilote

À savoir

Pour piloter la gouvernance des données personnelles au sein de l’entreprise, il est fortement recommandé de désigner un référent/pilote qui sera en charge du projet RGPD dans l’entreprise.

Cette personne devra connaître la législation, maîtriser le RGPD et disposer de relais internes dans l’entreprise. Elle sera chargée entre autre :

  • D’informer et de conseiller le responsable de traitement ou le sous-traitant, ainsi que leurs employés;
  • De contrôler le respect du règlement et du droit national en matière de protection des données;
  • De conseiller sur la réalisation d’études d'impact sur la protection des données et d’en vérifier l’exécution;
  • De coopérer avec l’autorité de contrôle et d’être le point de contact de celle-ci;
  • De s’informer sur le contenu des nouvelles obligations;
  • De sensibiliser les décideurs sur l’impact de ces nouvelles règles;
  • De superviser la réalisation de l’inventaire des traitements de données de votre organisme;
  • De concevoir des actions de sensibilisation;
  • De piloter la conformité en continu.

La désignation officielle auprès de la CNIL d’un délégué à la protection des données (DPO) est obligatoire si :

  • Vous êtes un organisme public;
  • Vous êtes une entreprise dont l’activité de base vous amène à réaliser un suivi régulier et systématique des personnes à grande échelle, ou à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions.

Plus d’informations pour désigner un pilote : CNIL

Étape 2 : Cartographier les traitements de vos données personnelles

À savoir

Une cartographie des traitements consiste à recenser de manière guidée l’ensemble des données personnelles traitées par votre entreprise.

Afin de cartographier ces données et d’identifier les données à caractère personnel, il convient de se poser les questions suivantes :

  • Quelles sont les données collectées par l’entreprise ?
  • Ces données sont-elles des données à caractère personnel ?
  • Qui accède à ces données ?
  • Ces données transitent-elles par un ou des tiers ?
  • Où et comment sont stockées ces données ?
  • Combien de temps ces données sont-elles conservées ?
  • Comment sont traitées ces données (y compris le traitement par les tiers) ?

Fonctionnez par service. Les ressources humaines détiennent souvent les données collaborateurs. Le marketing et la vente possèdent les données des clients ou prospects. La production, dans certains cas, peut également disposer de données personnelles de clients (prestation financière, activité médicale, éditeur de logiciel, etc.).

Un « traitement de données personnelles » est une opération, ou ensemble d'opérations, portant sur des données personnelles, quel que soit le procédé utilisé (collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission diffusion ou toute autre forme de mise à disposition, rapprochement).

Établir une cartographie des traitements est un des points de départ essentiels pour avoir une vision globale des traitements de données personnelles en circulation au sein de l’organisme. En effet, cela permet aux collaborateurs une meilleure accessibilité et une meilleure compréhension des données personnelles traitées ainsi que leur provenance et leur(s) éventuelle(s) destination(s).

Bonnes pratiques : que dit le RGPD ? La cartographie des traitements est une recommandation de la CNIL pour mesurer le niveau de conformité au RGPD grâce, entre autres, aux informations insérées dans le registre des traitements. Ainsi, elle permet de suivre la conformité dans le temps et d’alimenter le registre des activités de traitement pour permettre aux organismes d’établir des plans d’actions pour assurer cette conformité.

La cartographie des traitements doit reprendre, à minima, les informations qui doivent se trouver dans le registre des traitements telles que listées dans l’article 30 du RGPD, notamment :

  • les finalités du traitement;
  • les catégories de données;
  • les catégories de personnes concernées par les données;
  • les catégories de destinataires des données.

Ce registre des traitements est le premier document demandé par la CNIL lorsqu’elle entame une procédure de contrôle.

Plus d’informations pour cartographier vos traitements de données personnelles : CNIL

Étape 3 : Mettre en place les procédures de gouvernance

astuce

Documentez et mettez en place des procédures pour répondre à chacune des exigences du RGPD.

  • Respect des droits des personnes

    • Consentement : Créer un message pour demander de manière très explicite et compréhensible le consentement des personnes pour l’utilisation de leurs données à des fins commerciales. Il faut afficher ce message et conserver la preuve du consentement;
    • Droit d’accès : Décrire la marche à suivre pour extraire la liste de toutes les données relatives à une personne, lui donner accès à ses données et expliquer comment elles sont traitées;
    • Portabilité des données : S’assurer lors d’un audit par exemple que toutes les données personnelles sont stockées dans un format électronique usuel et facilement lisible pour permettre leur transmission;
    • Droit d’opposition : Mettre en place un contrôle sur les communications pour s’assurer que les personnes puissent en tout temps s’opposer à l’utilisation de leurs données à des fins commerciales (lien de désinscription sur les e-mails, choix des communications sur le compte client, etc.);
    • Droit à l’oubli : Définir les étapes à suivre lorsqu’une personne demande l’effacement de ses données et comment prouver qu’elles ont bien été supprimées ou anonymisées. Par exemple, conserver d’un côté le nom des personnes avec une clé chiffrée et stocker ailleurs les données personnelles associées à la clé.

  • Violation des données personnelles

    • Documentation interne : Création et mise à jour d’un « registre des violations »;
    • Notification à la CNIL : Respect des délais de 72h maximal;
    • Information des personnes concernées : Information dans les meilleurs délais (hors cas particulier).

  • D’autres procédures peuvent aussi être mises en œuvre notamment sur :

    • Les contrôles de la CNIL;
    • Gestion et sélection des sous-traitants;
    • L’encadrement des transferts hors UE;
    • Gestion des demandes : procédure et outillage (exemple: adresse mail dédiée).

Plus d’informations pour organiser les processus internes : CNIL

Étape 4 : Identification des risques et les moyens de protection

Identifiez les risques auxquels les données personnelles peuvent être exposées.

  • Identification des risques

    • Accès non autorisé en interne;
    • Perte de données;
    • Hacking externe;
    • etc...

  • Analyse d’impact

À savoir

Si vous avez identifié des traitements de données susceptibles d’engendrer des risques élevés, il peut être nécessaire de mener une analyse d’impact relative à la protection des données.

Cette analyse doit contenir :

  • Une description du traitement étudié et sa finalité;
  • Une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités;
  • Une évaluation des risques pour les droits et libertés des personnes concernées;
  • Les mesures envisagées pour faire face aux risques.

Plus d’information pour gérer les risques : CNIL

  • Moyens de protection
    • Gestion des droits d’accès;
    • Sauvegarde;
    • Sécurité des locaux;
    • Chiffrement / anonymisation;
    • Pare-feu / Antivirus;
    • etc...
attention

Vérifier la pertinence de ces mesures de protection par la mise en place de contrôles réguliers.

Étape 5 : Documenter et suivre l’évolution de votre conformité

À savoir

Pour prouver votre conformité au règlement, vous devez constituer et regrouper la documentation nécessaire dans un dossier.

Les actions et documents réalisés à chaque étape que nous avons abordées dans les chapitres précédents doivent être réexaminés et actualisés régulièrement pour assurer une protection des données en continu. Ce dossier doit être constitué à minima des éléments suivants :

  • Le registre des traitements : Permet le recensement et l’analyse de l’ensemble des données personnelles traitées par une entreprise. Ce document doit refléter la réalité des traitements appliqués;
  • L'encadrement des transferts de données hors de l'Union européenne (notamment, les clauses contractuelles types, les BCR* et certifications);
  • Les mentions d’information;
  • Les modèles de recueil du consentement des personnes concernées;
  • Les procédures internes en cas de violations de données;

Suivant votre niveau de maturité et/ou la définition de votre périmètre vous pouvez aussi documenter les aspects suivants :

  • Les analyses d’impact relatives à la protection des données (AIPD) pour les traitements susceptibles d'engendrer des risques élevés pour les droits et libertés des personnes;
  • Les procédures mises en place pour l'exercice des droits;
  • Les contrats avec les différents sous-traitants;

Plus d’info pour documenter la conformité CNIL

Étape 6 : Sensibiliser les collaborateurs

À savoir

La sensibilisation et la formation de vos collaborateurs constituent une obligation du RGPD, fixée à l’article 39 qui liste les missions du DPO.

astuce

Parmi les missions du DPO on retrouve « la sensibilisation et la formation du personnel participant aux opérations de traitement ». L’ensemble des collaborateurs de votre structure doit donc être a minima sensibilisé aux enjeux du RGPD. Toutefois, il est vivement recommandé de prendre le temps de former les équipes pour lesquelles l’enjeu est le plus important : ressources humaines, équipe commerciale et marketing, équipe technique, etc…

La formation des collaborateurs s’inscrit dans une démarche d’imputabilité de votre part en tant que responsable de traitement. En effet, en cas de contrôle CNIL, vous devrez prouver avoir organisé des sessions de formation et / ou de sensibilisation de vos collaborateurs, ce qui témoignera de votre volonté de vous conformer au RGPD et du niveau de sensibilisation de vos équipes. C’est d’ailleurs pour cette raison qu’il est nécessaire de « tracer » vos sessions de formation.

En matière de sécurité des données, le facteur humain est très important. En effet, la majorité des incidents associés à la sécurité de l’information et de violations de données sont liés à une erreur ou une intervention humaine. Il vous faut former les collaborateurs en organisant des séances d’information sur ces nouvelles exigences :

  • Quels sont les droits des personnes dont l’entreprise détient des données personnelles ?
  • Quels sont les risques si les exigences ne sont pas respectées ?
  • Que faut-il faire pour les éviter ?

Selon l’importance que le RGPD revêt dans votre entreprise, vous pouvez aussi :

  • Faire signer une charte de sécurité de l’information ;
  • Transmettre un QCM pour vous assurer que les collaborateurs aient bien compris comment agir ;
  • Mettre en place des contrôles réguliers pour garantir la bonne application des procédures ;
  • etc...

Certes, la RGPD représente une contrainte supplémentaire pour votre entreprise, mais elle peut être source d’opportunités. Elle vous permettra de remettre en question l’existant, de rationaliser les façons de travailler, de réduire les risques liés aux données, de rassurer vos clients ou encore de renforcer l’esprit d’équipe.

Plus d’informations pour sensibiliser les utilisateurs : CNIL

Les avantages à vous mettre en conformité

  • Renforcer la confiance : Le respect du RGPD contribue à valoriser votre image de marque auprès de vos interlocuteurs;
  • Améliorer votre efficacité : La conformité au RGPD impose une gestion rigoureuse de vos données et vous permet de gagner en efficacité et productivité;
  • Une meilleure gestion de l’entreprise : Le RGPD exige un contrôle de la pertinence des données collectées et donc des activités et des process permettant une optimisation des investissements;
  • Améliorer la sécurité des données : La protection des données et des personnes concernées, c’est donner les moyens à l’entreprise de se développer sereinement;
  • Créer de nouveaux services : Le RGPD introduit de nouvelles notions pouvant se traduire en nouveaux services (ex : portabilité des données);
  • Rassurer les clients et les donneurs d’ordre : Les donneurs d’ordre sont très sensibles à la mise en œuvre du RGPD par leur prestataire. Le respect du RGPD vous offre un avantage concurrentiel.

Quelques informations utiles

Lexique

  • RGPD: Le règlement général sur la protection des données (RGPD, ou encore GDPR, de l’anglais "General Data Protection Regulation"), officiellement appelé règlement UE 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel;
  • DPO: En droit Européen le Délégué à la protection des données (abrégé DPD, ou DPO, pour Data Protection Officer) est la personne chargée de la protection des données à caractère personnelles au sein d'une organisation;
  • BCR: Les règles d’entreprise contraignantes (ou Binding Corporate Rules (BCR) en anglais) désignent une politique de protection des données intra-groupe en matière de transferts de données personnelles hors de l'Union européenne;
  • CNIL: La Commission nationale de l'informatique et des libertés (CNIL) est une autorité administrative indépendante française. La CNIL est chargée de veiller à ce que l’informatique soit au service du citoyen et qu’elle ne porte atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques. Elle exerce ses missions conformément à la loi no 78-17 du 6 janvier 1978 modifiée notamment en 2004 et en 2019.

Sites de la CNIL

RGPD : Se préparer en 6 étapes (CNIL)

Appliquer le RGPD dans une TPE ou PME : les questions/réponses de la CNIL

Guides à télécharger

Guide pratique de sensibilisation au RGPD pour les petites et moyennes entreprises (source : BPI France).