Espace membres

RGPD : comment se préparer ?

On reprend au début ! C’est quoi le RGPD ?

Le règlement général sur la protection des données (RGPD) est entré en vigueur le 25 mai 2018. Ce règlement vient remplacer la directive européenne de 1995 sur la protection des données à caractère personnel (95/46/CE) par une législation unique s’appliquant à tous les États membres. Le RGPD est un changement de paradigme : on passe d’un système déclaratif à une responsabilisation des entreprises (accountability) : alors que le contrôle des données se faisait jusqu’alors a priori sur des bases déclaratives (fichiers CNIL, mentions légales, etc.), l’entreprise devra pouvoir justifier en temps réel de sa conformité avec la loi à travers différents processus internes (collaborateur dédié, règles internes…) et externes allant jusqu’aux sous-traitants. Rappelons néanmoins que les grands principes inscrits dans la loi Informatique et libertés, mis en avant notamment par le Spiil dans son Guide des bonnes pratiques, que sont le droit d’information, le droit d’accès et le consentement demeurent.

Le RGPD introduit néanmoins de nouveaux droits :
le droit à l’effacement (article 17)
le droit à la limitation (article 18 et article 4.3)
l’encadrement du profilage (article 13) et le droit à la portabilité (article 20)

Est-ce que je suis concerné ? 
Oui, les entreprises comme les associations sont concernées par le RGPD si elles collectent, stockent, utilisent des données à caractère personnel. Dans ce cas, elles sont « responsables de traitements ». Si elles traitent des données à caractère personnel pour le compte d’autres entreprises, elles sont « sous-traitantes ».

C’est quoi une donnée personnelle ?
La définition est très large. Cela ne se limite pas aux coordonnées. Une donnée à caractère personnelle concerne toute information, publique comme confidentielle, relative à une personne physique susceptible d’être identifiée, directement ou indirectement (nom, prénom, adresse, numéro de carte nationale d’identité, photo, adresse IP, adresse MAC, autres exemples sur le site de la CNIL). Seules les données anonymisées (qui ne permettent pas de reconnaître la personne même en les recoupant – différent de la pseudonymisation) ne sont pas concernées par le RGPD. Une donnée, même chiffrée, reste une donnée personnelle.

Les sanctions
Un manquement aux exigences du RGPD est susceptible d’exposer le responsable de traitement à une amende administrative pouvant aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel. Il entraîne aussi la responsabilité civile/ou pénale du responsable de traitement.
 

Comment je me prépare ?

Cette mise en conformité relève de la gestion de projet : votre entreprise va devoir mettre en place des process et des documents (notamment le registre de traitement des données) qui garantissent en continu les droits des utilisateurs. Vous trouverez ci-après, dans le cadre d’une démarche un peu accélérée, les grandes étapes vers une mise en conformité :

  • les questions à se poser
  • les chantiers prioritaires
  • des documents types : une grille pour faire l’audit de vos données et un exemple de feuille de route
  • les documents ressources édités par la CNIL

Ce document ne vise pas l’exhaustivité et chaque organisation doit tenir compte de sa propre situation.

 

Par quoi je commence ?

Ce que je peux initier et mettre en place rapidement :

  • Nommer un chef de projet qui pourrait aussi être le responsable des données personnelles en interne (et pas obligatoirement avec le statut officiel de DPO)
  • Entamer les démarches de mise en conformité en mode gestion de projet et en parler en interne
  • Cartographier toutes les données (pas uniquement celles en ligne, cela concerne aussi les fichiers papier) pour établir le registre de traitement
  • Etablir un premier registre de traitement
  • Bâtir la feuille de route vers une mise en conformité
  • Créer une procédure interne de gestion des demandes d’accès

 

Etape 1 : Organisation interne

Faire l’inventaire des données personnelles dans l’entreprise (cartographie des données) pour ensuite seulement pouvoir faire le registre de traitement :

  • le faire par entretien entre les services (audit).
  • ​planifier et suivre des entretiens sur un fichier excel (identifier les métiers dans l’entreprise à auditer et les personnes à rencontrer). Ce programme pourra être valorisé auprès de la CNIL en cas de contrôle.

Les questions à se poser pour faire cet inventaire :

  1. Pourquoi je traite des données ? Quelle est la finalité de mon traitement ? Exemples : en interne/sujets RH (fiche de paie, newsletter interne) ; en externe (envoi de mes publications, mailing de recrutement d’abonnés, mailing d’invitation de mes abonnés à mes événements, etc.)

  2. Sur quelle base légale je fonde mon traitement ? Cette base juridique est indispensable. Il en existe six mais les plus courantes sont : le contrat / l’obligation légale (pour émettre des reçus fiscaux, faire les fiches de paie…) / le consentement (il va alors falloir prouver à la CNIL qu’on a bien demandé aux personnes qu’elles étaient d’accord, attention à ne pas utiliser la base du consentement à tort et à travers, privilégier d’autres bases) / l’intérêt légitime…

  3. Comment je traite les données ? Quelles informations ont été communiquées aux personnes concernées ? Les données doivent être traitées – de manière licite, loyale et transparente / de manière adéquates, pertinentes et limitées, exactes et si nécessaires, tenues à jour.

  4. Pendant combien de temps je stocke les données ? Il faut une limitation de la durée de conservation. Le régulateur ne veut pas de données conservées ad vitam. Cette durée doit être indiquée dans les contrats.

 

Exemple de questionnaire pour faire la cartographie des données :

Liste des services (non exhaustive) Service RH Services marketing, commerciaux Services généraux
Contact dans l’entreprise à rencontrer pour faire cet audit      
Quelles données de quelle catégorie de personnes sont traitées ?      
Y a t-il des données sensibles ?      
Quelles finalités de traitement ?      
Quels outils informatiques utilisés ?
Qui est prestataire pour mon hébergement ? pour la bureautique ? Etc. Lister les outils par usage		      
Qui a accès à ces données ?      
Durée de conservation Pour les RH, on décompte la durée de conservation à partir de la date de départ du salarié    
Les données sont-elles collectées directement auprès des personnes ? Si oui, comment ?      
Un consentement est-il demandé ? On ne le demande pas au salarié car il n’est pas en mesure de refuser, ce serait donc un “faux consentement”. La base juridique pour les données des salariés = l’obligation légale    
Les données sont-elles collectées par des tiers ? Si oui, comment ?      
Des informations sont-elles données aux personnes concernées ? Si oui, comment ? Mettre une ligne de privacy policy dans la fiche de renseignement du salarié ; personnes déjà en poste : faire un mailing pour informer de la privacy policy    
Quelles mesures de sécurité techniques et organisationnelles? (habilitation, effacement, traçabilité, détection des data breaches, etc.)      
Quelles politiques et procédures internes ?
(privacy policies clients/RH, gestion des droits d’accès/d’opposition/mention sur le site, liens de désinscription)		      
Transferts internationaux ?
Faire la liste des sous-traitants pour savoir où sont les données.		      
Existe t-il un suivi pour la mise à jour régulière de ces mesures ?      

 

Une fois les données identifiées, faire un registre de traitement
La CNIL propose sur son site un modèle dit simplifié mais vous pouvez aussi le faire sous forme de fichier Excel qui permet d’avoir une vue d’ensemble des traitements. Dans ce fichier, faites un onglet par finalité de traitement (des finalités que vous avez recensées au moment de votre cartographie des données).

Exemples :

  • onglet 1 “gestion des RH”,
  • onglet 2 “opérations marketing”.

Dans un même onglet, vous pouvez mettre plusieurs sous-finalités de traitement. Exemple pour l’onglet “gestion des RH” : sous-finalités : gestion de la paie, suivi disciplinaire, envoi de la newsletter interne…

Est-ce que je dois nommer un délégué à la protection des données (DPO) ?
Dans quels cas est-ce obligatoire ?

  • si le traitement de vos données exigent un suivi régulier et systématique à grande échelle des personnes concernées
  • si, toujours à grande échelle, le traitement concerne des catégories particulières de données (il s’agit de données sensibles).

Si je nomme un DPO, il doit répondre à des critères précis (articles 37 à 39 du RGPD) :

  • être un expert
  • ​disposer de moyens (équipe et budget) et de l’accès aux données
  • soumis au secret professionnel ou à une obligation de confidentialité
  • peut accomplir d’autres tâches mais il ne doit pas y avoir de conflit d’intérêt entre la finalité des traitements et la fonction qu’il exerce en plus au sein de l’entreprise).

Ses missions :

  • informer et conseiller le responsable de traitement
  • contrôler le respect du RGPD dans l’entreprise
  • être le point de contact pour l’autorité de contrôle.

Dans le cas où vous n’avez pas obligation de nommer un DPO, le régulateur conseille de nommer quelqu’un en charge du respect des données personnelles au sein de l’entreprise. C’est à la fois moins contraignant que le titre de DPO dont le poste est défini par le règlement et c’est une signe positif dans la démarche de conformité.
 

Quelle est mon autorité compétente ? (article 56 et article 60 du RGPD)
La CNIL si mes traitements sont locaux (les réclamations ne relèvent que de l’État membre).

Est-ce que je dois faire une étude d’impact pour mes traitements ? (article 35)

C’est prérequis par le règlement si :

  • analyse ou un profilage sur la base de laquelle sont prises des décisions affectant de manière significative la personne concernée
  • traitement à grande échelle de données sensibles
  • surveillance systématique à grande échelle d’une zone accessible au public.

Outil de la CNIL pour réaliser l’étude d’impact.

Que faire en cas de violation de la protection des données (“data breach”) ? (article 33)
Avec le registre de traitement, c’est la procédure à mettre en place le plus rapidement. Pour cela, il faut déterminer ce qui va être considéré comme “data breach” dans l’entreprise (exemple : est-ce que si un de mes commerciaux perd son disque dur avec la base de données clients c’est un data breach ? est-ce qu’on met un seuil / volume de données ? est-ce que ça concerne la divulgation à des tiers ? Etc. Plusieurs questions à se poser). Le “data breach” ne va concerner que ce qui aura un impact sur les données personnelles.

Le responsable de traitement a l’obligation de notifier toute faille de sécurité :

  • à la CNIL dans les meilleurs délais et si possible sous 72h sauf si cette faille de sécurité n’est pas susceptible de porter atteinte aux droits et libertés des personnes concernées
  • ​aux personnes concernées dans les meilleurs délais sauf si (i) cette faille de sécurité n’est pas susceptible de porter atteinte aux droits et libertés des personnes concernées ou (ii) des mesures de protection techniques et organisationnelles appropriées type chiffrement ont été prises ou (iii) une telle notification exige des efforts disproportionnées (gros efforts de recherche à faire).

​Le sous-traitant a obligation de notifier au responsable de traitement toute faille de sécurité dans les meilleurs délais. C’est pour cela qu’il est important de prendre en compte vos sous-traitants dans votre procédure. Car c’est souvent à vous de faire la notification même si la faille va venir du sous-traitant. Il faut donc vérifier qu’il est compliant et que c’est bien prévu dans votre contrat avec lui qu’il prévoit de vous faire part de la faille.

 

Etape 2 : Relation avec les personnes dont je traite les données

  Les points de vigilance à avoir dans les relations avec les personnes concernées (après le 25 mai, plus que de la CNIL, les demandes de vérification de bonne conformité viendront plutôt des utilisateurs).

  • Qui sont les “personnes concernées” ? Cf. article 4. Elles sont potentiellement nombreuses : salariés, clients, prestataires…

  • Le recueil du consentement : cela va dépendre de la base légale (voir plus haut). L’insertion d’une case précochée suffit-elle à manifester un consentement ? Non, la CNIL a toujours dit qu’il fallait un agissement actif. ce consentement doit être traçable en interne.

  • Comment j’informe mes salariés ? Comment j’informe mes clients et mes contacts extérieurs ?

→ je rédige mes privacy policies (support articles 12 à 14) pour les salariés (indispensable en cas d‘intranet) et pour les clients et les contacts extérieurs. Il faut que ces conditions sont présentées de façon claire : cela peut prendre la forme d’une FAQ sur votre site par exemple. Ne pas négliger de faire des chapitres, avec des titres explicites, pour une meilleure lisibilité.

  • Quelles ressources en interne pour gérer les droits des personnes (le droit d’accès) ?

Je nomme un contact et met en place une procédure : montrer qu’il existe un canal dédié au recueil des demandes des personnes concernées. En plus de votre responsable des données personnelles ou de votre DPO, il est important de sensibiliser les gens en interne sur cette procédure de gestion des demandes. Nous vous conseillons de créer une adresse e-mail dédiée qui recevra ces demandes : donneespersonnelles (a) nom de votre entreprise (dot) fr par exemple. Vous avez un mois maximum pour répondre à la demande (vs 2 mois sous la loi informatique et libertés). Il faut qualifier cette demande : la personne a t-elle le droit de a faire ? Est-elle bien la personne qu’elle prétend être ? 
Guide de la CNIL sur comment répondre à une demande droit d’accès.

 

Etape 3 : mise en conformité de mes contrats

Les contrats ont normalement tous dû être identifiés lors de l’audit.

  1. je vérifie pour chaque contrat les statuts du responsable de traitement ou du sous-traitant

  2. je modifie les clauses (article 28)

  3. je vérifie les impacts sur d’autres clauses (assurance, limites de responsabilité…)

Guide de la CNIL pour accompagner les sous-traitants.
 

Etape 4 : je rédige ma feuille de route, je suis en capacité de montrer ce que j’ai engagé 

Thème Niveau de priorité                     Mesure(s)                                             Personne en charge                            Calendrier                           
Documentation et gestion interne        
Cartographie des données        
Registre de traitement        
Nommer un DPO ?        
Autorité compétente        
Faire une étude d’impact        
Procédure de data breach        
Relations avec les personnes concernées        
Points de vigilance        
Documentation pour mes salariés        
Documentation pour clients et contacts extérieurs        
Procédure de gestion des demandes d’accès        
Contrats        
Points de vigilance        
Les clauses standard pour mettre en conformité mes contrats existants