RGPD, le dossier pour tout comprendre

Source : ZDNet

L’entrée en vigueur du Règlement général sur la protection des données (GDPR, ou General data protection regulation) en mai prochain modifie en profondeur la gestion et la conservation des données personnelles. A l’heure de la migration massive des données dans le cloud découvrez en détail les nouvelles obligations qui s’imposent aux entreprises, et les meilleures pratiques.

Etes-vous prêts pour le RGPD ? Voici la check-list !

Pour résumer :

  • Tenir un registre des traitements
  • Identifier le périmètre des données sensibles
  • Garantir les droits des personnes
  • Revoir les contrats fournisseurs
  • Rédiger une charte de bonnes pratiques
  • Définir les nouvelles missions du DPO
  • Se préparer à la possibilité d’une fuite de données

Tenir un registre des traitements

Les entreprises de plus de 250 employés doivent tenir un registre actualisé de tous leurs traitements de données personnelles. Consultable à tout moment par la Cnil, ce registre comporte, entre autres, le nom et les coordonnées du responsable du traitement, le type de destinataire auquel les données ont été ou seront communiqués et la finalité du traitement (démarchage commercial, analyse statistique…).

Identifier le périmètre des données sensibles

La réforme européenne préconise le chiffrage ou la pseudonymisation pour les données les plus sensibles. Par données sensibles, elle va plus loin que la définition établie par la loi de 1978. Il s’agit des informations faisant référence aux origines raciales ou ethniques, à la religion, aux opinions politiques, philosophiques, syndicales, à la génétique, aux données biométriques, à la santé ou à la sexualité des personnes.

Garantir les droits des personnes

L’entreprise doit obtenir le consentement explicite des personnes concernées par le traitement et pouvoir en apporter la preuve. Pour les mineurs de moins de 16 ans, le consentement d’un parent ou d’un tuteur légal est obligatoire. Le droit à l’oubli oblige le responsable du traitement à garantir aux individus qui lui en feront la demande que leurs données seront bien supprimées dans le délai fixé. Le règlement instaure aussi un droit à la portabilité. Soit la possibilité d’obtenir les données personnelles le concernant, dans un format lisible et structuré, afin de pouvoir le transmettre à un autre acteur.

Revoir les contrats fournisseurs

Le règlement met fin à l’immunité des sous-traitants en introduisant un principe de coresponsabilité. Le responsable du traitement doit s’assurer qu’ils sont bien engagés sur la voie de la conformité en insérant des clauses contractuelles rappelant leurs nouvelles obligations. Il peut aussi introduire une clause de « rendez-vous » – fixant les réunions d’étapes d’ici à mai 2018 – une clause d’audit, voire des pénalités financières en cas de manquement aux engagements qualité (SLA).

Rédiger une charte de bonnes pratiques

Une charte annexée au règlement intérieur permet de rappeler aux collaborateurs un certain nombre de bonnes pratiques ainsi que les sanctions encourues en cas de non-respect de la loi. Entre autres, un salarié ne peut accéder ou supprimer des informations ne relevant pas de sa fonction ou enregistrer des données sur un support externe sans accord de sa hiérarchie. Il doit aussi respecter les règles de sécurité définies par le service informatique.

Définir les nouvelles missions du DPO

Appelé à remplacer le Correspondants informatique & libertés (CIL) en mai prochain, le data protection officer a des pouvoirs élargis. Alors que le CIL est le garant du respect des dispositions de la loi informatique & libertés, le DPO exerce un contrôle des règles internes de protection et vérifie leur bonne exécution. Le G29, le groupe des Cnil européennes, a précisé le profil de ce DPO et de ses missions.

Se préparer à la possibilité d’une fuite de données

L’entreprise doit mettre en place les procédures d’escalade qui seront activées en cas de violation de données personnelles en termes notamment de communication de crise et d’information. Le responsable du traitement doit notifier la Cnil si possible dans les 72 heures après en avoir pris connaissance. Il doit aussi avertir « dans les meilleurs délais » les personnes concernées quand la fuite présente un risque élevé pour leurs droits et libertés comme le vol de mots de passe ou de numéros de cartes bancaires.


Les 3 grands principes du RGPD

Pour résumer :

  • La logique de responsabilisation
  • La coresponsabilité des sous-traitants
  • Le privacy by design

Le RGPD fait non seulement de la protection des données personnelles un enjeu d’entreprise au regard du montant des sanctions envisagées mais il change aussi le rapport avec l’autorité de contrôle.

Aujourd’hui, la Cnil constate d’éventuels manquements à la loi Informatique & Libertés lors de ses opérations de contrôle. Avant de sanctionner, la Commission émet généralement des recommandations – comme modifier la durée de conservation – laissant le temps à l’entreprise de régulariser sa situation.

Avec le RGPD, on passe dans une logique de responsabilisation. (accountability). La déclaration préalable à la Cnil est supprimée, remplacée par d’autres obligations reposant sur l’autocontrôle. Il appartient à l’organisation de prendre toutes les mesures pour garantir la conformité des traitements de données personnelles. Elle doit être en mesure de le démontrer à tout moment en tenant un registre à jour de l’ensemble de ses traitements.

Le RGPD instaure aussi un régime de coresponsabilité des sous-traitants. Contractuellement, ces derniers s’engagent, entre autres, à mettre en œuvre les mesures de protection adéquates et à alerter le responsable du traitement en cas de fuite de données.

Le plus haut niveau de protection par défaut

Autre grand principe du texte : le « privacy by design ». De façon proactive, le responsable du traitement intègre la protection de la vie privée dès la conception d’un service ou d’un produit et, ce, tout au long du cycle de vie des données, de leur collecte à leur suppression.

Pour cela, l’organisation s’engage à prendre les mesures techniques et organisationnelles appropriées. Elle peut notamment recourir à la pseudonymisation des données qui consiste à remplacer un attribut par un autre afin d’éviter l’identification directe d’un individu.

Le principe de « privacy by default » complète le précédent en montant le curseur d’un cran supplémentaire. Non seulement les mesures de sécurisation sont intégrées nativement dans le service ou l’application mais le responsable du traitement assure par défaut le plus haut niveau de confidentialité.

Le responsable du traitement garantit qu’il ne traite que les informations nécessaires à la finalité poursuivie, et seulement celles-ci (notion de minimisation). Il doit, par ailleurs, recueillir le consentement explicite et éclairé des personne concernées et détruire systématiquement les données une fois la finalité terminée. L’organisation doit également s’assurer que seuls les employés habilités à la gestion de ces données peuvent y accéder.

Ce privacy by default s’applique à tous les traitements existants au 25 mai 2018, date de prise d’effet du RGPD. En revanche, le privacy by design ne concernera que les traitements initiés à partir de cette date.


5 grandes étapes pour se mettre en conformité au RGPD

Pour résumer :

  • Nommer un Data protection officer (DPO).
  • Cartographier les traitements.
  • Établir un plan d’actions.
  • Poser le cadre de gouvernance.
  • Sensibiliser les collaborateurs à la « privacy ».

Le compte à rebours tourne. Il reste environ 330 jours aux entreprises et aux administrations pour se mettre en conformité avec le RGPD. Une période qui doit être mise à profit, sans temps mort tant les impacts organisationnels et technologiques sont nombreux.

Nommer un Data protection officer (DPO)

Tout commence par l’entrée en fonction de la femme ou l’homme qui incarnera le RGPD en interne. Alliant des compétences juridiques et techniques, le DPO doit être un bon communiquant capable de résister aux pressions. Rattaché directement auprès de la direction générale, il délivrera en toute indépendance ces recommandations aux métiers, même si elles vont à l’encontre du business.

Les organisations qui ont déjà nommé un Correspondant informatique & libertés pourront faire monter ce dernier en compétences. A défaut de trouver la perle rare en interne, elles le recruteront sachant que ce type de profil fait l’objet d’une véritable pénurie. L’AFCDP, l’association française des correspondants à la protection des données à caractère personnel, a ouvert un espace d’offres d’emploi. Les PME pourront, elles, externaliser cette fonction auprès de prestataires spécialisés (avocat, consultant…).

Cartographier les traitements

La seconde étape consiste à passer en revue l’ensemble des traitements de données personnelles, informatisées ou non (archives papier). Il s’agit d’identifier les processus concernés par le RGPD puis de calculer leur niveau de conformité en les soumettant à une étude d’impacts (PIA pour Privacy Impact Assessment). Pour dresser cette cartographie, les métiers sont mis à contribution, notamment le marketing et la DRH qui gèrent un grand nombre de données nominatives.

Ce travail préliminaire servira à documenter le registre actualisé recensant les traitements et leurs finalités qui pourra être demandé à tout moment par la Cnil.

Établir un plan d’actions

Sur le base de cet état des lieux, un plan d’actions est mis en œuvre. Des travaux informatiques seront engagés pour la sécurisation des données les plus critiques de type anonymisation ou chiffrement. Il s’agit aussi de revoir les modalités d’exercice des droits des individus concernés, du recueil consentement au droit à l’oubli. La finalité de chaque traitement et la durée de la conservation des données doit être établie. Ce qui entraîne une révision en profondeur de la politique de confidentialité.

Par ailleurs, la conformité concerne les sous-traitants, co-responsables au regard du RGPD. Les contrats fournisseurs devront comprendre une clause précisant leurs nouvelles obligations et responsabilités. Cela concerne également les prestataires basés hors de l’Union Européenne pour peu qu’ils gèrent des données de citoyens européens.

Poser le cadre de gouvernance

Pour inscrire ce plan d’actions dans la durée, il convient de mettre en place la gouvernance spécifique visant à garantir l’intégrité de la donnée tout au long de la vie, de la collecte à sa suppression. Comment assurer le plus haut niveau de protection dès la conception d’un nouveau traitement (privacy by design) ? Comment seront traitées les demandes des personnes fichées faisant valoir l’exercice de leurs droits ? Quelle est la chaîne de responsabilités en cas de fuite de données sachant qu’en principe la Cnil doit être alertée sous 72 h ?

Sensibiliser les collaborateurs à la « privacy »

Enjeu d’entreprise, la notion de respect de la vie privée doit être partagée par tous. Il convient de former les salariés aux nouvelles obligations introduites par le RGPD. Et rappeler qu’un simple fichier Excel contenant des contacts constitue un traitement de données personnelles.

,
Article précédent
GDPR et Cloud : 3 conseils pour les entreprises
Article suivant
Eternal Blue Scanner

Articles liés

Menu