Aller au contenu principal
RGPD Iptis

RGPD, ce qu'il faut savoir !

Le Règlement Général sur la Protection des Données personnelles (RGPD) devient directement applicable à compter du 25 mai prochain, Iptis vous donne quelques clés pour vous aider à mieux comprendre cette nouvelle réglementation.

Qu'est-ce que le RGPD ?

Le Règlement Général sur la Protection des Données personnelles (RGPD), adopté en avril 2016, harmonise le droit européen en matière de protection des données personnelles. Il sera directement applicable en France à partir du 25 mai 2018 et concernera l’ensemble des acteurs (start-ups, PME, TPE, grands groupes, associations, syndicats, organisations professionnelles, collectivités publiques...).

Les notions clés

› Qu'est-ce qu'une donnée personnelle ?

Toute information permettant d'identifier une personne physique (« personne concernée »), directement (Nom, Prénom, …) ou indirectement (adresse IP, …), y compris dans le monde professionnel. Certaines données peuvent être considérées comme sensibles si elles permettent de révéler une origine ethnique, des opinions politiques, des données liées à la santé …

› Qu'est-ce qu'un traitement ?

Toute opération (automatisée ou non) portant sur des données personnelles (collecte, conservation, stockage, utilisation...) : gestion de la clientèle, gestion RH, newsletters, vidéosurveillance, contrôles d’accès, biométrie, coffre-fort numérique, géolocalisation...

› Principe d’accountability ?

Principe de responsabilisation, plus de déclaration à la CNIL (saufs dans certains cas particuliers) mais il faut être mesure de produire la documentation interne prouvant la conformité au RGPD. L’idée étant de justifier par exemple la finalité de la collecte de la donnée.

› Les acteurs ?

Le responsable de traitement : c’est la personne, le service, la direction ou l’entreprise qui décide de mettre en place un traitement et en définit les modalités (= donneur d’ordres).
Le sous-traitant : c’est la personne, le service, la direction ou l’entreprise qui traite des données personnelles pour le compte du responsable du traitement (prestataires, partenaires...).

› Le principe Privacy By Design ?

Aborder la question des données et de la confidentialité dès la conception d’un projet.

› Privacy By Default ?

Toujours choisir la solution la plus protectrice de la vie privée lorsque le choix se présente.

› Traitement licite des données ?

Démontrer que le traitement des données est licite. Il s’agit là surtout du problème du consentement et du respect des droits de chacun : opposition, retrait, droit à l’oubli, …

› Sanctions

Le non-respect du RGPD peut entrainer de lourdes sanctions : 20M d’euros ou 4% du CA annuel.

Quelle méthodologie ?

L’idée à retenir c’est d’être capable de faire la démonstration que vous avez mis en œuvre les moyens nécessaires pour tendre vers la conformité au RGPD. Pour cela voici une méthodologie à respecter :

  • S’organiser en mode projet dans le but de définir un plan d’action pour tendre vers ladite conformité.
     
  • Nommer un responsable du projet de conformité (attention à l’obligation de nomination du DPO dans certains cas)
     
  • Elaboration du registre des activités de traitement, par exemple le logiciel de paie et les données salariés ou encore la base de données clients / fournisseurs. Pour chaque traitement il vous faut déterminer
    • L’objectif du traitement
    • Le type des données
    • Qui a accès à ces données
    • Durée de conservation de ces données
    • Modalité de sécurisation, …
       
  • Analyse de la légalité des traitements de données, estce que les traitements listés précédemment répondent aux exigences du RGPD
    • Respect du « Privacy By Default »
      • Déterminer la finalité du traitement de la donnée
      • Minimiser les données en ne collectant que ce qui est nécessaire
      • Limiter la durée de conservation des données
    • Modalités de collecte, consentement et information
      • Auditer les clauses contractuelles à l’égard des salariés, clients et fournisseurs
    • Exercice des droits des personnes
      • Autoriser l’accès à l’information, droit à l’opposition, droit à l’oubli … détailler les procédures pour expliquer la manière de mettre en œuvre ses droits
    • Mentions obligatoires dans les contrats avec les sous-traitants (hébergeurs, …), auditer les contrats et vérifier la présence des clauses obligatoires
    • Assurer sécurité et confidentialité des données
       
  • Elaborer la liste des outils de conformité, lister les actions à mettre en œuvre pour tendre  vers la conformité :
    • Nomination d’un DPO ou d’un référent
    • Documents contractuels à rédiger dans le cadre des relations salariés, clients, fournisseurs
    • Documents et procédures relatifs à l’exercice des droits des personnes
    • Documents relatifs à la sécurité des données : notification de violation auprès de la CNIL par exemple
    • Garantir la licéité des transferts de données
    • Lister des traitements pour lesquels une étude d’impacts est à réaliser
    • Information et Sensibilisation des salariés : réunions, documentation, …

Ces éléments une fois rassemblés constituent votre plan de mise en conformité. Bien entendu certaines étapes ne sont pas immédiates et doivent faire l’objet d’un suivi par le référent. Il n’y a pas de résultat à atteindre ou de copie à rendre il faut surtout être capable de démontrer que tout est fait pour tendre vers la conformité.

Au sens de la CNIL 6 grandes étapes pour se préparer et tendre vers la conformité.

 

› Désigner un pilote

Pour piloter la gouvernance des données personnelles de votre structure, vous aurez besoin d'un véritable chef d’orchestre qui exercera une mission d’information, de conseil et de contrôle en interne : le délégué à la protection des données. En attendant 2018, vous pouvez d’ores et déjà désigner un « correspondant informatique et libertés », qui vous donnera un temps d'avance et vous permettra d'organiser les actions à mener.

› Cartographier vos traitements de données personnelles

Pour mesurer concrètement l’impact du règlement européen sur la protection des données que vous traitez, commencez par recenser de façon précise vos traitements de données personnelles. L'élaboration d'un registre des traitements vous permet de faire le point.

› Prioriser les actions à mener ?

Sur la base de votre registre, identifiez les actions à mener pour vous conformer aux obligations actuelles et à venir. Priorisez ces actions au regard des risques que font peser vos traitements sur les droits et les libertés des personnes concernées.

› Gérer les risques

Si vous avez identifié des traitements de données personnelles susceptibles d'engendrer des risques élevés pour les droits et libertés des personnes concernées, vous devrez mener, pour chacun de ces traitements, une analyse d'impact sur la protection des données (PIA).

› Organiser les processus internes ?

Pour assurer un haut niveau de protection des données personnelles en permanence, mettez en place des procédures internes qui garantissent la prise en compte de la protection des données à tout moment, en prenant en compte l’ensemble des événements qui peuvent survenir au cours de la vie d’un traitement (ex : faille de sécurité, gestion des demandes de rectification ou d’accès, modification des données collectées, changement de prestataire).

› Documenter la conformité ?

Pour prouver votre conformité au règlement, vous devez constituer et regrouper la documentation nécessaire. Les actions et documents réalisés à chaque étape doivent être réexaminés et actualisés régulièrement pour assurer une protection des données en continu.

Pour aller plus loin :

  • Le lien vers la vidéo de 15 minutes de la CNIL pour présenter le RGPD : ICI
  • Les 6 étapes de préparation au RGPD selon la CNIL : ICI
  • Le lien vers le site du service public pour les durées légales de conservation de certains documents : ICI
  • Guide RGPD à destination des TPE/PME : ICI
  • L’exemple de registre de la CNIL : ICI
  • Le guide de la CNIL sur les mesures de sécurité élémentaires : ICI