RGPD : du bon sens et de l’organisation

Le 25 mai 2018 le règlement européen relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD) entrera en vigueur. Il sera applicable en mai 2018 dans tous les pays de l’Union Européenne.

Le RGPD s’applique à toute organisation, publique et privée, qui traite des données personnelles pour son compte ou non, dès lors :

• qu’elle est établie sur le territoire de l'UE
• que son activité cible directement des résidents européens

En France, le RGPD consacre et renforce les grands principes de la loi Informatique et Libertés, en vigueur depuis 1978. La Commission nationale de l’informatique et des libertés (CNIL) reste le régulateur français des données personnelles.

Cette réforme de la protection des données poursuit 3 objectifs majeurs :

1. Le renforcement des droits des personnes
2. La responsabilisation des acteurs traitant des données (responsables de traitement et sous-traitants)
3. La crédibilisation de la régulation

Le texte réaffirme les principes essentiels de la protection de la vie privée :

• Restriction d’utilisation
• Minimisation des données
• Précision
• Limitation du stockage
• Intégrité
• Confidentialité

Les moyens à déployer pour se mettre en conformité au RGPD dépendent du volume et de la sensibilité des données personnelles traitées.

Actions à mener pour mise en conformité aux règles de protection des données :

1. Désigner un délégué à la protection des données (DPO)
2. Identifier les activités principales de l'organisation qui nécessitent la collecte et le traitement de données
3. Constituer un registre des traitements de données personnelles
4. Analyser ces données personnelles
5. Prioriser les actions à mener
6. Gérer les risques
7. Organiser les processus internes
8. Documenter la conformité
9. Respecter les droits des personnes
10. Sécuriser les données

1. Désigner un délégué à la protection des données basée dans l'UE

La désignation d’un délégué à la protection des données (DPO) est obligatoire pour:

• les organismes publics ;
• les entreprises dont l’activité de base les amène à réaliser un suivi régulier et systématique des personnes à grande échelle, ou à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions.

Dans les autres cas, la désignation d’un délégué est recommandée notamment en cas de nécessité d’analyse approfondie du RGPD.

Le délégué peut être désigné en interne parmi les collaborateurs de l'entreprise ou en externe.

Pour en savoir plus: Dossier Devenir délégué à la protection des données de la CNIL

2. Identifier les activités principales de l’entreprise qui nécessitent la collecte et le traitement de données

Exemples : formation, gestion des badges et des accès, gestion des clients, etc.

3. Constituer un registre des traitements de données personnelles

Le registre permet d'avoir une vision d’ensemble sur les traitements de données personnelles. Dans ce registre, créez une fiche pour chaque activité recensée, en précisant : 

• l’objectif poursuivi (exemple : obligation légale) ;
• les catégories de données utilisées (exemple : age, date de naissance, etc.) ; 
• qui a accès aux données (exemple: service informatique, direction, prestataires, partenaires, hébergeurs) ;
• la durée de conservation de ces données (durée opérationnel et durée de conservation en archive).

Les traitements purement occasionnels ne sont pas à mentionner dans le registre. Ce registre centralisé doit être régulièrement mis à jour et est placé sous la responsabilité du dirigeant de l’entreprise. 

Pour aller plus loin : RGPD - Modèle de registre (Excel) de la CNIL

4. Analyser les données personnelles

Analysez par la suite les traitements de données personnelles et vérifiez leur conformité à la réglementation.

Pour chaque fiche de registre créée, posez-vous les questions suivantes :

Avant tout traitement, définissez la « quantité » de données collectées, l’étendue du traitement, comment le droit des personnes sera respecté, la durée de conservation ainsi que les modalités d’accessibilité aux données.

5. Prioriser les actions à mener

Sur la base du registre crée il faudra alors identifier les actions à mener pour se conformer aux obligations et les priorisées au regard des risques potentiels que ces traitements représentent pour la vie privée des personnes concernées.

L’approche du RGPD est fondée sur la notion de gestion de risques

Points d’attention:

• Assurez-vous que seules les données strictement nécessaires à la poursuite de vos objectifs sont collectées et traitées.
• Identifiez la base juridique sur laquelle se fonde votre traitement (par exemple: contrat, obligation légale)
• Révisez vos mentions d’information afin qu’elles soient conformes aux exigences du règlement
• Vérifiez que vos sous-traitants connaissent leurs nouvelles obligations et leurs responsabilités (mettez en place des clauses contractuelles rappelant les obligations du sous-traitant en matière de sécurité, de confidentialité et de protection des données personnelles traitées).

Pour en savoir plus : Sous-traitance : Exemple de clauses

• Prévoyez les modalités d'exercice des droits des personnes concernées (droit d'accès, de rectification, retrait du consentement, etc.)
• Vérifiez les mesures de sécurité mises en place.

Points de vigilance particulière: 

Si votre situation correspond à l’un ou à plusieurs des points de vigilance indiqués ci-après, une analyse approfondie du RGPD et de la loi Informatique et Libertés est nécessaire pour déterminer les mesures à mettre en œuvre.

Données « sensibles » :

• révélant l’origine prétendument raciale ou ethnique
• portant sur les opinions politiques, philosophiques ou religieuses
• relatives à l’appartenance syndicale
• concernant la santé ou l’orientation sexuelle
• génétiques ou biométriques

Ces données ne peuvent être utilisées que sous certaines conditions strictement encadrées par la loi Informatique et libertés et par le RGPD.

Lorsque le traitement de données a pour objet ou pour effet : 

• l’évaluation d’aspects personnels ou notation d’une personne
• une prise de décision automatisée 
• la surveillance systématique de personnes
• le traitement de données sensibles
• le traitement de données concernant des personnes vulnérables
• le traitement à grande échelle de données personnelles
• le croisement d’ensembles de données
• des usages innovants ou l’application de nouvelles technologies
• l’exclusion du bénéfice d’un droit, d’un service ou contrat

Si vos traitements de données répondent à au moins 2 des 9 critères indiqués ci-dessus,vous devez, en principe, conduire une analyse d’impact sur la protection des données (PIA : Privacy Impact Assesment), avant de commencer les opérations de traitement. Cette analyse de l’impact vous permettra d’identifier les risques associés à ces données personnelles.

Pour en savoir plus : Dossier PIA

Lorsque vous transférez des données en dehors de l’Union européenne 

Vous devez :

• Encadrer et contractualiser vos transferts pour assurer la protection des données à l’étranger à tout moment ;
• Vérifier si le pays hors UE vers lequel vous transférez les données dispose d’une législation de protection des données et si elle est reconnue adéquate par la Commission européenne.

Pour en savoir plus: carte protection des données dans le monde de la CNIL

6. Gérer les risques

Si des traitements de données personnelles susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes concernées ont été identifiés, il faudra mener, pour chacun de ces traitements, une analyse d’impact sur la protection des données (Privacy Impact Assessment (PIA) ou Data protection impact assessment).

Une analyse d'impact sur la protection des données (PIA) est une étude aidant à construire des traitements de données respectueux de la vie privée et permettant de démontrer la conformité de son traitement au RGPD.

Un PIA est un outil d’évaluation d’impact sur la vie privée, il repose sur 2 piliers :

1. les principes et droits fondamentaux fixés par la loi;
2. la gestion des risques sur la vie privée des personnes concernées.

Un PIA contient :

• une description du traitement étudié et de ses finalités ;
• une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités ;
• une évaluation des risques pour les droits et libertés des personnes concernées et les mesures envisagées pour faire face aux risques.

7. Organiser les processus internes

Pour assurer un haut niveau de protection des données personnelles en permanence, il sera impératif de mettre en place des procédures internes garantissant la prise en compte de la protection des données à tout moment, en prenant en compte l’ensemble des événements qui peuvent survenir au cours de la vie d’un traitement (example : faille de sécurité, gestion des demande de rectification ou d’accès, modification des données collectées, changement de prestataire).

Organiser les processus implique notamment :

• prendre en compte la protection des données personnelles dès la conception d’une application ou d’un traitement;
• sensibiliser et organiser la remontée d’information en construisant notamment un plan de formation et de communication auprès de vos collaborateurs ;
• traiter les réclamations et les demandes des personnes concernées quand à l’exercice de leurs droits en définissant les acteurs et les modalités;
• anticiper les violations de données (données personnelles détruites, perdues, altérées, divulguées ou accès non autorisé) en prévoyant, dans certains cas, la notification à l’autorité de protection des données dans les 72 heures et aux personnes concernées dans les meilleurs délais.

Pour en savoir plus: Formulaire de notification de violation de données personnelles de la CNIL

8. Documenter la conformité

Pour prouver sa conformité au règlement, il faudra constituer et regrouper la documentation nécessaire. Les actions et documents réalisés à chaque étape doivent être réexaminés et actualisés régulièrement pour assurer une protection des données en continu.

Votre dossier devra notamment comporter les éléments suivants :

Documentations sur les traitements des données personnelles:

• Le registre des traitements (pour les responsables de traitements) ou des catégories d’activités de traitements (pour les sous-traitants)
• Les analyses d’impact sur la protection des données (PIA)
• L'encadrement des transferts de données hors de l'Union européenne

Information des personnes:

• Les mentions d’information
• Les modèles de recueil du consentement des personnes concernées
• Les procédures mises en place pour l'exercice des droits

Les contrats qui définissent les roles et les responsabilités des acteurs:

• Les contrats avec les sous-traitants
• Les procédures internes en cas de violations de données
• Les preuves que les personnes concernées ont donné leur consentement (lorsque le traitement de leurs données repose sur cette base)

9. Respecter les droits des personnes

Le RGPD renforce l’obligation d’information et de transparence à l’égard des personnes dont vous traitez les données (clients, collaborateurs, etc.). 

Les personnes dont vous traitez les données ont des droits sur leurs données : droit d’accès, de rectification, d’opposition, d’effacement, à la portabilité et à la limitation du traitement.

A chaque fois que vous collectez des données personnelles, le support utilisé (formulaire, questionnaire, etc.) doit comporter des mentions d’information.

Vérifiez que l’information comporte notamment les éléments suivants :

• pourquoi vous collectez les données;
• ce qui vous autorise à traiter ces données (example: exécution d’un contrat, respect d’une obligation légale) ;
• qui a accès aux données (indiquez des catégories : les services internes compétents, un prestataire, etc.) ;
• combien de temps vous les conservez ;
• les modalités selon lesquelles les personnes concernées peuvent exercer leurs droits (exemple: par un message sur une adresse email dédiée, par un courrier postal à un service identifié) ;
• si vous transférez des données hors de l'UE (précisez le pays et l’encadrement juridique qui maintient le niveau de protection des données).

Une information claire et complète constitue la base du contrat de confiance qui vous lie avec les personnes dont vous traitez les données.

Bon à savoir: pour éviter des mentions trop longues au niveau d’un formulaire en ligne, vous pouvez par exemple, donner un premier niveau d’information en fin de formulaire et renvoyer à une politique de confidentialité sur votre site internet.

À l’issue de cette étape, vous avez répondu à votre obligation de transparence. 

Pour en savoir plus: exemples de mentions sur le site internet de la CNIL

10. Sécuriser les données

Garantissez l’intégrité de vos données personnelles en minimisant les risques de pertes de données ou de piratage.

Les mesures à prendre, informatiques ou physiques, dépendent de la sensibilité des données traités et des risques qui pèsent sur les personnes en cas d’incident. Ayez à l’esprit les conséquences pour les personnes de la perte, la divulgation, la modification non souhaitée de leurs données, et prenez les mesures nécessaires pour minimiser ces risques.

Différentes actions peuvent être mises en place :

• mettre à jour les antivirus et logiciels
• sécuriser l'accès aux dossiers des personnes
• changer régulièrement les mots de passe et utiliser de mots de passe complexes
• créer des profils distincts selon les besoins des utilisateurs pour accéder aux données
• protéger les données (anonymisation et pseudonymisation, chiffrage, exclusion…)
• mettre en place une procédure de sauvegarde et de récupération des données en cas d’incident 
• sécuriser l'accès aux locaux
• sécuriser vos mails en mettant en place un cryptage

A l’issue de cette étape, vous serez capable d’assurer une protection des données personnelles en continu et de faire face aux incidents.

Pour en savoir plus:

Guide des bonnes pratiques de l’informatique réalisé par l’ANSSI et la CPME

Guide sécurité des données personnelles sur le site internet de la CNIL 

Cet article se base sur les documents disponibles sur le site internet de la CNIL