• Français
  • Anglais

RGPD : les principaux points à retenir pour vous mettre en conformité

Tout le monde en parle !  


« RGPD », « GDPR » ou plus officiellement « Règlement Général sur la Protection des Données », c’est l’un des sujets d’actualité et de préoccupation majeur pour toutes les entreprises françaises et européennes.

Ce règlement européen, qui sera applicable le 25 mai 2018, est d’application directe dans tous les états membres de l’UE (i.e. sans qu’il n’y ait besoin de loi de transposition, à l’inverse des directives européennes). Il a vocation à harmoniser au niveau européen les règles applicables à la protection des données, notamment en renforçant les droits des personnes, et en responsabilisant davantage les opérateurs impliqués dans des traitements de données personnelles.

Si votre activité implique des traitements de données personnelles (et c’est presque toujours le cas), il est temps de faire le point sur votre niveau de conformité avec la règlementation existante, et surtout d’anticiper vos nouvelles obligations au regard du RGPD.

Voici quelques conseils pour préparer l’arrivée de ce nouveau texte :

# 1 – Désignez un « chef de projet »

Le RGPD prévoit pour certaines entreprises l’obligation de désigner formellement un « Délégué à la Protection des Données » (ou « DPO » pour « Data Protection Officer » en anglais). C’est notamment le cas pour celles dont le cœur d’activité est de traiter des données sensibles (par exemple les données de santé), ou bien lorsque ces activités exigent un suivi régulier et systématique des personnes (telles que les activités de marketing fondées sur les données, de profilage et de notation aux fins de l’évaluation du risque de crédit, ou bien de géolocalisation par des applications mobiles).

  • Vous devez en conséquence vous interroger sur la nécessité de désigner un DPO au regard de vos activités.
  • En outre, et même en l’absence d’obligation à cet égard, il est fortement recommandé de désigner une personne sensibilisée aux enjeux de la protection des données, qui prendra l’initiative de lancer les actions nécessaires à la mise en conformité, et qui pourra au sein de l’entreprise, avoir une vue globale sur les activités de traitement, centraliser les demandes des opérationnels, et diffuser auprès des équipes une culture data protection via des formations ou autres actions de sensibilisation. Dans cette situation, faites bien attention de ne pas intituler le poste de cette personne « DPO », cela entrainerait l’application de toutes les règles correspondant à cette fonction (e.g. règles sur les conflits d’intérêts, sur les moyens à mettre à disposition, sur l’indépendance et les cas de licenciement, etc.).
# 2 – Recensez les traitements de données personnelles opérés dans votre entreprise

Que vous soyez spécialisés dans la data, ou que les traitements de données personnelles soient purement accessoires à vos activités, vous devez être en mesure de savoir ce qu’il se passe chez vous.

Cette étape est nécessaire pour vous mettre en conformité au regard de la règlementation :

  • Pour chacun des traitements identifiés, vous devrez vous poser les questions suivantes afin d’évaluer leur conformité à la règlementation : Quelles sont les personnes concernées ? Quelles sont les données traitées ? Pour quelle(s) finalité(s) ? A qui sont-elles transmises ? Combien de temps sont-elles conservées ? Procédez-vous à des transferts de données hors UE (par exemple : où sont vos serveurs d’hébergement et avec quels partenaires étrangers partagez-vous des données) ? (voir notre article Etes-vous en conformité avec la règlementation relative au traitement des données personnelles ?)
  • Sur la base de la cartographie que vous avez établie, vous pourrez créer votre registre des traitements. Fini le système déclaratif auprès de la CNIL, vous devrez désormais documenter vous-mêmes les traitements de données réalisés et leurs caractéristiques, et tenir cette documentation à jour et à la disposition de la CNIL.

Pour plus d’informations, n’hésitez pas à consulter le site dédié de la CNIL.

# 3 – Identifiez et maitrisez vos sous-traitants

Pour rappel, dans la règlementation, il existe deux types principaux d’opérateurs : (i) les responsables de traitement, c’est-à-dire les entités qui déterminent les finalités et moyens des traitements (e.g. en tant qu’employeur, vous déterminez les finalités liées aux traitements des données de vos salariés, par exemple la paie), et (ii) les sous-traitants, qui traitent les données pour le compte du responsable, et sur ses instructions (e.g. le prestataire de services de gestion de la paie, qui traite les données uniquement pour le compte de l’employeur).

Ainsi, si vous faites appel à de nombreux prestataires de services qui traitent des données personnelles pour votre compte (e.g. hébergeurs de données, fournisseurs de logiciel en SaaS, prestataires de services publicitaires, etc.), ceux-ci sont en charge de la mise en œuvre pratique des traitements, mais vous restez responsable des traitements qu’ils réalisent pour vous. Le RGPD impose aujourd’hui de documenter en détail les obligations de vos sous-traitants dans les contrats conclus avec ces derniers.

En pratique :

  • Rassemblez les contrats conclus avec vos différents prestataires, et vérifiez les clauses relatives aux traitements des données. Vous pourrez le cas échéant les amender sur la base de la clause type fournie par la CNIL qui reprend les exigences posées par le RGPD.
  • Pour vos sous-traitants les plus importants, prévoyez un suivi régulier afin de contrôler que les obligations contractuelles de ceux-ci sont bien respectées.
# 4 – Mettez à jour vos supports de collecte de données et d’information

Le RGPD prévoit, en plus des informations qui doivent déjà être fournies aujourd’hui, des obligations accrues en matière d’information des personnes au moment de la collecte de leurs données personnelles.

Vous devrez notamment être en mesure d’indiquer, pour chacun des traitements réalisés, le fondement juridique de celui-ci.

Par exemple :

  • pour le traitement du numéro de sécurité sociale pour les besoins de la paie de vos salariés, vous devrez indiquer que ce traitement est nécessaire pour répondre à des obligations légales et règlementaires ;
  • si vous souhaitez segmenter vos prospects/clients sur la base de leurs habitudes de consommation ou de navigation, il vous faudra préciser que le traitement est nécessaire aux fins de vos intérêts légitimes, qui consistent en une meilleure connaissance de vos clients afin de leur proposer des produits ou services adaptés.

Il n’est pas nécessaire d’informer de nouveau vos clients existants des nouvelles mentions requises par le RGPD ; néanmoins, pensez à mettre à jour vos supports d’information (politique de confidentialité, mentions d’information sous les formulaires d’inscription, etc.) pour les nouveaux clients.

# 5 – Dotez-vous des nouveaux outils nécessaires à votre conformité

Le RGPD consacre un principe d‘accountability, c’est-à-dire de responsabilisation des acteurs. En un mot : c’est à vous de démontrer que vous avez mis en place les procédures nécessaires pour respecter les règles relatives à la protection des données.

Pour vous assurer d’être toujours en conformité, il vous faudra avoir des réflexes et instaurer certaines procédures. Par exemple :

  • Avant le lancement de chaque nouveau projet impliquant un traitement de données personnelles, réfléchissez aux enjeux et risques dudit traitement pour les personnes concernées, et si besoin, effectuez une analyse d’impact sur la vie privée.
    La CNIL a développé un logiciel pour vous assister dans la réalisation des analyses d’impact, que vous pouvez trouver à cette adresse.
  • Intégrez dans vos projets, dès leur conception, les impacts liés à la protection des données (privacy by design).
    Par exemple, lors de la conception d’un outil, faites en sorte que les paramétrages soient par défaut les plus protecteurs de la vie privée (privacy by default).
  • Créez et documentez des règles et procédures internes : durées de conservation et règles d’archivage, notification des failles de sécurité, etc.
  • Anticipez les développements informatiques et les mesures à prendre pour répondre aux demandes d’exercice des droits des personnes.
    De nouveaux droits introduits dans le RGPD nécessitent parfois de mettre en place de nouveaux outils, notamment informatiques. C’est par exemple le cas du droit à la portabilité, qui permet aux personnes concernées de vous demander la transmission de toutes les données les concernant sous un format facilement réutilisable ; ou encore celui de demander la limitation du traitement, qui implique d’isoler des données pour interdire leur traitement pendant un certain temps.

Note à l’attention des sous-traitants : si vous traitez des données personnelles principalement en qualité de sous-traitant, des obligations propres telles que la tenue d’un registre, ou le cas échéant la désignation d’un DPO, peuvent également s’imposer à vous. Dans le cadre de vos relations avec vos clients, vous serez également soumis à des obligations spécifiques, notamment de conseil et d’accompagnement ; par exemple, vous devrez assister vos clients dans la réalisation des analyses d’impact, dans le traitement des demandes de leurs salariés ou clients en relation avec leurs données personnelles, ou vous devrez encore les alerter si les instructions qu’ils vous donnent sont contraires à la règlementation.

***

La mise en conformité au regard du RGPD implique un travail d’audit interne, afin d’identifier l’existant, et l’implémentation d’actions requises. Ce travail requiert des ressources et du temps mais il s’agit d’un investissement nécessaire, autant d’un point de vue juridique que commercial.

N’attendez pas le 24 mai 2018 pour réfléchir à ces questions, et lancez les travaux ASAP !