Le Règlement Général sur la Protection des Données Personnelles entre en vigueur le 28 mai ! Il n’est pas trop tard pour lancer la démarche de conformité RGPD, mais par où commencer ?
Certes, les règles de conformité RGPD prévoient que les TPE/PME soient dispensées de certaines obligations (dans certains certains cas seulement). Mais il s’applique bien à toute entreprise qui collecte, stocke, traite ou utilise des données à caractère personnel, pour son propre compte ou en qualité de sous-traitant. Les entreprises qui ne respecteront pas les principaux points du règlement ou qui n’auront pas au moins entamé la démarche de mise en conformité RGPD s’exposent à des sanctions. Le champ d’application est vaste : il peut s’agir des données personnelles des employés, des clients, des prospects, des partenaires, etc… Pour chaque traitement, la mise en conformité implique des mesures sur les plans juridique, organisationnel et technique.
Conformité RGPD : application et sanctions
Le RGPD renforce la loi Informatique et Libertés en vigueur depuis 1978. Elle accroît les droits des citoyens en leur donnant plus de maîtrise sur leurs données. Les formalités actuelles auprès de la CNIL (déclarations, autorisations) disparaissent. En contrepartie, les entreprises qui traitent des données à caractère personnel (pour leur compte ou pour le compte de leurs clients) doivent apporter la preuve qu’elles ont mis en oeuvre toutes les mesures techniques et organisationnelles pour protéger les données, conformément au nouveau règlement. Contrairement aux directives européennes qui ne s’appliquent qu’après transposition nationale, le RGPD, en tant que règlement européen, est d’application immédiate dans l’ensemble des Etats membres à compter du 25 mai 2018. Les amendes administratives peuvent s’élever, selon la catégorie de l’infraction, jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel. L’organisme de contrôle pour la France est la CNIL.
Données personnelles et conformité RGPD : définition
Il s’agit de toute information se rapportant à une personne physique identifiée (directement) ou identifiable (indirectement). Par exemple : nom, prénom, numéro de téléphone, adresses postale, email, adresse IP, identifiant, etc… Certaines données sont dites sensibles, comme par exemple l’origine raciale, l’opinion politique, l’appartenance syndicale, les convictions religieuses, les données génétiques, de santé, l’orientation sexuelle. La conformité RGPD impose que leur traitement soit interdit sauf pour certaines exceptions comme les raisons médicales d’urgence.
Le RGPD s’applique aux traitements de données sous forme de fichier, en tout ou partie automatisés, mais également aux fichiers qui ne sont pas du tout automatisés, constitués d’un ensemble structuré de données (dossiers clients ou patients par exemple, liste manuscrite de mauvais payeurs…). Les fichiers “papiers” sont donc bien concernés. Enfin, le RGPD s’applique aux données personnelles de tout type de contact : clients, fournisseurs, partenaires, employés…
Quelles sont les entreprises concernées ?
La conformité RGPD concerne toutes les entreprises qui traitent des données à caractère personnel. Des dispenses existent pour les entreprises de moins de 250 salariés concernant certaines obligations comme la tenue d’un registre des traitements ou la nomination d’un DPO (délégué à la protection des données). Ces dispenses ne sont possibles que dans certains cas et pour les PME, Le RGPD peut représenter une contrainte lourde. La mise en conformité est coûteuse et prend du temps mais elle est vitale. Car au-delà des sanctions financières prévues, les grands comptes exigeront bientôt de leurs sous-traitants qu’ils soient conformes.
Le règlement concerne aussi les sous-traitants : notamment les prestataires de services informatiques (hébergement, maintenance,…), les intégrateurs de logiciels, les agences marketing ou de communication qui traitent des données personnelles pour le compte de clients, etc…
La notion de traitement de données personnelles
Traitement des données personnelles :
Toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.
Responsable du traitement :
La personne physique ou morale, l’autorité publique, le service ou autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement.
Sous-traitant :
La personne physique ou morale, l’autorité publique, le service ou autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.
Les obligations de la conformité RGPD
Nomination d’un DPO (délégué pour la protection des données), si vous êtes dans le cas de figure où c’est obligatoire. Dans certains cas, ce n’est pas obligatoire. La CNIL recommande néanmoins de désigner un pilote. Son rôle consistera à centraliser les informations relatives aux traitements de données à caractère personnel et organisera les actions à mener afin de respecter les obligations applicables. En pratique, il est difficile de se passer d’un chef de projet (interne ou externe) afin de mener le plan de conformité RGPD.
Tenue du registre des traitements des données personnelles, si vous êtes dans le cas de figure où c’est obligatoire. Dans la pratique, difficile de s’en passer ne serait-ce que pour faire l’inventaire des différents traitements et garantir une conformité continue.
Conformité de chaque traitement de données personnelles
Vous devez respecter les droits des personnes : consentement, information, accès, rectification, effacement, limitation, notification, portabilité.
Le traitement doit être légitime et licite.
Vous devez minimiser les données en limitant la collecte aux seules données strictement nécessaires au traitement.
Il faut assurer la sécurité des données dans leur intégrité et au niveau de leur confidentialité : prendre les mesures organisationnelles et techniques pour éviter la destruction, la perte, l’altération ou la divulgation non autorisée des données (voir le guide de la CNIL).
Certains traitements de données personnelles peuvent engendrer un risque élevé pour les droits et libertés des personnes. Ils doivent faire l’objet d’une analyse d’impact (PIA : privacy impact assessment). C’est un point important de la conformité RGPD.
Gestion des responsabilités
Le responsable du traitement est responsable de la conformité et devra être capable de le démontrer. Il doit donc organiser et documenter la mise en conformité RGPD et le maintien de cette conformité.
La co-responsabilité du sous-traitant doit être claire. Echanger des données personnelles entre deux sociétés exige désormais d’évoquer les engagements réciproques de chacun.
Mise en conformité de tous les contrats (clients, sous-traitants, CGU, CGV, mentions pour la collecte des données, contrats de travail, etc…).
Il est nécessaire de mettre en place une procédure en cas de violation. L’entreprise a pour obligation de notifier l’autorité de contrôle (CNIL) en cas de violation de sécurité ou de violation des données. L’entreprise devra également, dans certains cas, communiquer aux personnes concernées par la violation.
La démarche de mise en conformité RGPD
Les étapes :
Formulaire RGPD : mon entreprise est-elle concernée ?
Audit initial : analyse rapide d’exposition de l’entreprise au RGPD. On peut éventuellement réaliser cet audit à distance.
Nomination d’un DPO (délégué à la protection des données) ou à défaut d’un pilote.
Etat des lieux RGPD : à partir d’une cartographie des traitements, quantifier le travail à accomplir pour être en conformité avec les exigences du RGPD. Etablissement d’un plan d’action quantifié, hiérarchisé.
Mise en conformité RGPD : sur le plan contractuel et juridique, des mesures techniques et organisationnelles, des actions vis-à-vis des clients (notamment si l’entreprise est sous-traitante), actions vis-à-vis des sous-traitants et partenaires.
Mise en place de la gouvernance : rôles, procédures, documentation. Il faut démontrer à l’Autorité de Contrôle (CNIL) que les actions sont lancées et suivies.
Accompagnement à la démarche de conformité RGPD
La sécurisation informatique des données est une des principales exigences du règlement. Aussi, nous sommes en mesure de vous accompagner dans votre démarche de mise en conformité RGPD. En effet nous proposons une prestation spécifique. Si vous le souhaitez, nous pouvons vous faire parvenir un questionnaire. Ceci nous permettra de faire un premier état des lieux et de programmer un premier échange à distance rapidement.