Comment être conforme au RGPD ?
Depuis le 25 mai 2018, le règlement européen est officiellement entré en application. Désormais, tous les organismes ne parlent plus que de cela. Cependant, les entreprises ne savent pas comment s'y rendre conformes. C'est ce que nous allons tenter de vous expliquer.
Qu'est-ce que le RGPD ?
Le Règlement Général sur la Protection des Données personnelles (RGPD), ou en anglais GDPR (General Data Protection Regulation) est un règlement européen qui constitue le texte de référence en matière de protection des personnes, incluant donc la protection contre le traitement de leurs données à caractère personnel.
Après quatre années de négociations législatives, ce règlement a été définitivement adopté par le Parlement européen le 14 avril 2016. Ses dispositions sont directement applicables dans l'ensemble des 28 États membres de l'Union européenne depuis le 25 mai 2018 et concernent l’ensemble des acteurs, tous secteurs d'activité confondus (start-ups, PME, TPE, grands groupes, associations, syndicats, organisations professionnelles, collectivités publiques...).
Le RGPD s'applique non seulement aux organisations qui sont établies sur le territoire de l'UE mais également aux organisations étrangères qui mettent en œuvre des traitements pour fournir des biens et des services aux résidents Européens. (Ex : Uber, les GAFA (Google, Amazon, Facebook, Apple), les sites e-commerces chinois comme AliExpress, Asos, Wix, ...)
Il vise à renforcer le droit des personnes sur leurs données personnelles et à inciter les acteurs à jouer un rôle actif dans le contrôle de la conformité du traitement de ces données. Il change également le type de régulation applicable à ces données, avec plus aucune instruction de conformité par la CNIL mais un plus grand nombre de contrôles de conformité, plus de responsabilisation des entreprises, et un niveau de sanction largement rehaussé.
Les organismes doivent désormais assurer une protection optimale des données à chaque instant et être en mesure de la démontrer en documentant leur conformité.
À noter : Désormais, les sous-traitants ont une responsabilité accrue, ils ont de nouvelles obligations, allant jusqu'à la co-responsabilité légale des traitements sur certains dispositifs ; les responsables de traitements (leurs clients) ont donc l'obligation de contractualiser très précisément les responsabilités respectives, en ayant parfois à les négocier. Ils ont également une obligation de conseil auprès du responsable de traitement et doivent donc l'aider à respecter le règlement, ou bien ont l'obligation d'assurer la sécurité des données qui leurs sont confiées → Lire le guide pour l'accompagnement des sous-traitants de la CNIL.
Qu'appelle-t-on données personnelles ?
Les données sont considérées "à caractère personnel" dès lors qu’elles concernent des personnes physiques identifiées directement ou indirectement.
Une personne est identifiable lorsqu’un fichier comporte des informations permettant indirectement son identification (ex. : adresse IP, nom, n° d’immatriculation, n° de téléphone, photographie, éléments biométriques tels que l’empreinte digitale, ADN, numéro d’Identification Nationale Étudiant (INE), ensemble d’informations permettant de discriminer une personne au sein d’une population (certains fichiers statistiques) tels que, par exemple, le lieu de résidence et profession et sexe et age,....).
Des données que vous pourriez considérer comme anonymes peuvent constituer des données à caractère personnel si elles permettent d’identifier indirectement ou par recoupement d’informations une personne précise. Il peut en effet s’agir d’informations qui ne sont pas associées au nom d’une personne mais qui permettent aisément de l’identifier et de connaître ses habitudes ou ses goûts.
En ce sens, constituent également des données à caractère personnel toutes les informations dont le recoupement permet d’identifier une personne précise. (ex. : une empreinte digitale, l’ADN, une date de naissance associée à une commune de résidence …).
Les technologies de l’information et de la communication génèrent de nombreuses données personnelles (un appel passé par un téléphone portable, une connexion à Internet) et aussi des “traces informatiques” facilement exploitables grâce aux progrès des logiciels, notamment les moteurs de recherche.
Source : http://www.cil.cnrs.fr/CIL/spip.php?rubrique299
Il existe également d'autres données
Le cookie, est l'équivalent d'un fichier texte de petite taille, stocké sur le terminal de l'internaute permettant aux développeurs de sites web de conserver des données utilisateur afin de faciliter la navigation et de permettre certaines fonctionnalités. Un cookie peut être utilisé pour une authentification, une session (maintenance d'état), et pour stocker une information spécifique sur l'utilisateur, comme les préférences d'un site ou le contenu d'un panier d'achat électronique.
Les données de géolocalisation, qui permet de localiser l'emplacement des individus.
Certaines données sont sensibles, car elles touchent à des informations qui peuvent donner lieu à de la discrimination ou des préjugés, comme une opinion politique, une religion, une orientation sexuelle, une situation médicale... Elles ont un cadre particulier qui interdit tout collecte préalable sans le consentement écrit, clair et explicite de l'individu en question, ainsi qu'un fondement légal et des mesures de sécurisation très particulières.
Comment être conforme ?
Il existe 6 étapes à mettre en place :
- Désignation d’un pilote
Cette désignation n'est obligatoire que pour certaines entreprises dont l’activité de base amène l'entreprise à réaliser un suivi régulier et systématique des personnes à grande échelle, ou à traiter à grande échelle des données dites "sensibles" ou relatives à des condamnations pénales et infractions.
Un pilote vous permet de gérer l'ensemble des données personnelles de votre structure, si vous faites partie de ces entreprises, vous aurez besoin d'un délégué à la protection des données (DPO) qui exercera une mission d'information, de conseil et de contrôle en interne.
Dans les autres cas, la désignation d’un délégué est recommandée notamment si votre activité vous impose de mener une analyse approfondie du RGPD. Le délégué peut être désigné en interne parmi vos collaborateurs ou en externe. Il peut aussi être mutualisé entre plusieurs organismes ou au sein d’associations ou fédérations professionnelles.
→ Pour la désignation d'un DPO (data privacy officer ou délégué à la protection des données), vous pouvez vous renseignez sur l'article du site de la CNIL informant sur les conditions qui doivent être réunies pour pouvoir être DPO.
- Cartographie des données pour justifier de leur conformité
Pour mesurer concrètement l’impact du règlement européen sur la protection des données que vous traitez, vous pouvez commencer par recenser de façon précise vos traitements de données personnelles. L'élaboration d'un registre des activités de traitement permet de recenser vos traitements de données et de disposer d’une vue globale de ce que vous faites avec les données personnelles. Pour savoir comment élaborer un registre de traitement et accéder aux modèles, rendez-vous sur cet article du CNIL.
En effet, le RGPD établit clairement que les données sont la propriété des citoyens. Avec leur consentement, les données ne peuvent donc qu'être "empruntées" par les entreprises. C'est pourquoi il est important de cartographier les données personnelles afin de pouvoir les identifier, les localiser et établir un registre.
Ce registre permet notamment de s'assurer qu’une personne a bien donné son consentement explicite pour chacune des données recueillies, que ses demandes de droit à l’effacement ou à l’oubli sont bien signalées, ce qui inclut également toutes celles concernant son opposition au profilage. Cela permet également de garantir que la personne ne sera pas recontactée ultérieurement, que la durée de conservation associée à chaque information est bien respectée et que la source de la collecte est mentionnée.
- Mettre en place et prioriser des actions
Sur la base de votre registre, identifiez les actions à mener pour vous conformer aux obligations actuelles et à venir. Vous devez prioriser ces actions au regard des risques que font peser vos traitements sur les droits et les libertés des personnes concernées.
Assurez-vous que seules les données strictement nécessaires à la poursuite de vos objectifs sont collectées et traitées.
Identifiez la base juridique sur laquelle se fonde votre traitement (par exemple : consentement de la personne, intérêt légitime, contrat, obligation légale)
Révisez vos mentions d’information afin qu’elles soient conformes aux exigences du règlement (articles 12, 13 et 14 du règlement)
Vérifiez que vos sous-traitants connaissent leurs nouvelles obligations et leurs responsabilités, assurez-vous de l’existence de clauses contractuelles rappelant les obligations du sous-traitant en matière de sécurité, de confidentialité et de protection des données personnelles traitées.
Prévoyez les modalités d'exercice des droits des personnes concernées (droit d'accès, de rectification, droit à la portabilité, retrait du consentement...)
Vérifiez les mesures de sécurité mises en place. (Source : CNIL)
- Gérer les risques
Si vous avez identifié des traitements de données personnelles susceptibles d'engendrer des risques élevés pour les droits et libertés des personnes concernées, vous devrez mener, pour chacun de ces traitements, une analyse d'impact sur la protection des données (PIA). Le logiciel open source PIA (analyse d'impact sur la protection des données ou en anglais privacy impact assessment), facilite et accompagne la conduite d’une analyse d’impact relative à la protection des données, devenue obligatoire pour certains traitements depuis Mai 2018.
Disponible en anglais et en français, l'outil s’adresse principalement aux responsables de traitement n’étant pas ou peu familiers avec la démarche PIA. Le logiciel est déjà prêt, tout ce qu'il y a à faire c'est le mettre en place sur un poste de travail. Il est aussi possible de déployer l’outil sur des serveurs afin de l’intégrer dans les outils déjà déployés en interne dans une entreprise.
- Organiser les processus internes
Pour assurer une protection de haut niveau des données personnelles en permanence, mettez en place des procédures internes qui garantissent la prise en compte de la protection des données à tout moment, en prenant en compte l’ensemble des événements qui peuvent survenir au cours de la vie d’un traitement (ex : faille de sécurité, gestion des demandes de rectification ou d’accès, modification des données collectées, changement de prestataire).
- Documenter la conformité
Pour prouver votre conformité au règlement, vous devez constituer et regrouper la documentation nécessaire, c'est à dire que votre dossier devra comporter la documentation sur : vos traitements de données personnelles (avec le registre des traitements, les analyses d'impact sur la protection des données (PIA), et l'encadrement des transferts), l'information des personnes (les mentions d'information, les modèles de recueil du consentement des personnes concernées, les procédures mises en place pour l'exercice des droits) et enfin les contrats qui définissent les rôles et les responsabilités des acteurs (les contrats avec les sous-traitants, les procédures internes en cas de violations de données, les preuves que les personnes concernées ont donné leur accord lorsque le traitement de leurs données repose sur cette base).
Les actions et documents réalisés à chaque étape doivent être réexaminés et actualisés régulièrement pour assurer une protection des données en continu.
(Source : CNIL)
Une fois avoir mis en place les 6 étapes, vous serez enfin conforme mais pour autant, vous devrez vous assurer que la collecte des données soit :
- Consentie. Le consentement doit être explicite et traçable via un opt-in ou un double opt-in (respectivement, l'individu doit remplir lui-même son adresse-mail ou il doit remplir et cocher quelque chose).
- Transparente. L'information de collecte et de traitement des données doit être complète, claire, à jour et facilement accessible.
- Pertinente. Les données doivent à tout moment être adéquates, pertinentes et limitées aux fins pour lesquelles elles ont été collectées et traitées.
- Maîtrisées. Le partage et la circulation des données personnelles doivent être encadrés et contractualisés, afin de leur assurer une protection permanente.
- Respecter les droits des personnes. L'organisme doit répondre dans les meilleurs délais aux demandes des internautes concernant leurs données pour pouvoir les consulter, les rectifier ou les supprimer.
- Prévue. Les risques doivent être identifiés. Si vous traitez énormément de données, sensibles ou non ou que vous avez des activités ayant des conséquences particulières pour les personnes, des mesures spécifiques peuvent s'appliquer.
- Sécurisée. Les mesures de sécurité, informatique ou physique, doivent être adaptées en fonction de la sensibilité des données et des conséquences que la perte de ces dernières peuvent avoir sur les personnes.
La CNIL et BPI France ont élaborés ensemble un guide pratique à destination des PME et des TPE, permettant de répondre aux interrogations des entrepreneurs, et qui leur propose un accompagnement pragmatique et adapté pour passer à l’action.
Ce guide comprend des fiches thématiques rappelant les grands principes du RGPD, un plan d'action pour être conforme en 4 étapes, des fiches pratiques qui couvrent les principaux fichiers mis en œuvre dans la plupart des TPE et PME et enfin, les 6 bons réflexes de la protection des données personnelles. → Découvrir le guide.
Un guide très utile pour vous mettre en conformité avec ce nouveau règlement européen.
Il est par ailleurs urgent pour les entreprises de se préparer à la mise en œuvre du règlement, notamment au regard des lourdes sanctions prévues par le RGPD (amende pouvant être de 10 millions d'euros ou 2% du chiffre d'affaires annuel mondial ou de 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial).