RGPD, comment se mettre en conformité ? Nous recevons tous des informations ou de la communication concernant nos données personnelles et le RGPD plus particulièrement. Depuis le 25 mai 2018, le RGPD s’impose à toutes les entreprises et organisations, faute de quoi la CNIL pourra infliger de lourdes amendes.
Le nouveau règlement GDPR (General Data Protection Régulation), traduit en français par RGPD (Règlement Général sur la Protection des Données), renforce et clarifie le cadre légal existant. Adopté par le Parlement européen en avril 2016, il est entré en application ce 25 mai 2018 dans toute l’U.E.
Introduction au RGPD
Le RGPD est « obligatoire dans tous ses éléments et directement applicable dans tout Etat membre » de l’UE. L’objectif est de « redonner aux citoyens le contrôle de leurs données personnelles, tout en simplifiant l’environnement réglementaire des entreprises ».
En cas d’infraction, le régulateur (la CNIL, en France) peut infliger des sanctions allant jusqu’à 2 % du chiffre d’affaires mondial ou 10 millions d’euros (le montant le plus élevé étant retenu) pour non-conformité et des amendes pouvant aller jusqu’à 4% du chiffre d’affaires ou 20 millions d’euros pour violation des droits sur les données de personnes physiques.
L’application du RGPD est « extra-territoriale » : toutes entreprises établies hors de l’UE (donc étrangères) et traitant des données relatives aux activités d’organisations ou entreprises européennes et ciblant des résidents de l’UE doivent s’y conformer.
À lire : Qui est concerné par le RGPD ?
Lexique et langage RGPD
RGPD : Règlement Général sur la Protection des Données. Le règlement Européen relatif à la protection des données est entré en vigueur le 25 mai 2018.
DCP : Données à Caractères Personnelles. Toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée»). Est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
RT : Responsable de traitement. C’est la personne qui va porter la responsabilité légale du traitement = un dirigeant. Le responsable du traitement définit la manière dont les données personnelles sont traitées et à quelles fins. Il est également responsable de s’assurer que les sous-traitants de l’entreprise respectent le RGPD.
DPO : Délégué à la Protection des Données = le chef d’orchestre. Son rôle est d’informer et conseiller le Responsable de traitement, contrôler le respect du règlement, conseiller l’organisme, coopérer avec l’autorité de contrôle (CNIL).
Vous aurez compris que le RT et le DPO sont les personnes qui devront s’assurer de la mise en place du RGPD dans l’entreprise, de son respect et de son suivi.
Désigner un DPO
Un DPO pour le groupe. La désignation d’un DPO n’est pas obligatoire mais très fortement recommandé pour la bonne application du RGPD. Cette désignation aide à se mettre en conformité au RGPD.
Le DPO est obligatoire pour les organismes suivants :
- Les responsables de traitement du secteur public.
- les entreprises dont l’activité principale les amène à réaliser du profiling à grande échelle ou si leur activité les amène à traiter (toujours à grande échelle) des données dites «sensibles» ou relatives à des condamnations.
Son profil :
- Le DPO doit avoir les connaissances légales et techniques.
- Il doit avoir accès à toutes les données et tout le système d’information de l’entreprise.
- Mais il ne doit pas être juge et partie, ne doit pas faire partie de la direction.
- Très similaire à un profil « Qualité ».
Son rôle :
- S’informer.
- Sensibiliser.
- Réaliser l’inventaire des traitements.
- Concevoir les actions de sensibilisation.
- Piloter la conformité en continu.
- Rendre compte au RT.
Sa mission est d’assurer « un suivi régulier et systématique à grande échelle des personnes concernées ». Le DPO est associé à toutes questions se rapportant à la protection des données à caractère personnel. Il contrôle le respect du règlement, conseille le responsable des traitements sur son application. Etant en relation avec l’autorité de contrôle (la CNIL), il répond aux sollicitations des personnes de l’organisation qui souhaitent exercer leurs droits.
Responsabilité :
Il n’est pas responsable en cas de non-respect du règlement.
RGPD comment se mettre en conformité : Cartographier le traitement des données
La cartographie du traitement des données est une étape indispensable pour se mettre en conformité RGPD. Ce qui revient à identifier les DCP et à écrire les procédures de traitement des DCP.
Qui ?
Il s’agit d’identifier les acteurs, à savoir le responsable du traitement, les sous-traitants, les destinataires des données.
Quoi ?
Il s’agit de savoir quelles sont les DCP que le cabinet collecte et traite.
Pourquoi ?
Il s’agit de déterminer la finalité du traitement des DCP, pour quel objectif.
Où ?
Il s’agit de déterminer où sont stockées les DCP.
Quand ?
Il s’agit d’indiquer la durée de conservation pour chaque catégorie de DCP.
Comment ?
Il s’agit d’identifier les mesures de sécurité mises en place pour garantir la protection des DCP.
Identifier les actions prioritaires
Suite à cette cartographie, il faudra identifier les actions prioritaires pour savoir comment se mettre en conformité RGPD. L’entreprise devra déterminer si elle respecte :
- Le principe de minimisation (Les données traitées doivent aussi être adéquates, pertinentes et limitées à ce qui est nécessaire, au regard des finalités pour lesquelles elles sont traitées).
- Le principe de licéité (Les données doivent être traitées de manière loyale, licite et transparente).
- L’obligation de mentions d’information.
- Les obligations contractuelles relatives aux sous-traitants.
- Les droits des personnes.
- Les mesures de sécurité mises en place.
Gérer les risques
Il s’agit d’identifier les Données à caractère personnel (DCP) susceptibles d’engendrer des risques pour les droits et les libertés des personnes.
Pensez par exemple à bien vous protéger sur Facebook.
Organiser les processus internes
Il s’agit de mettre en place des processus qui garantissent la conformité des traitements des DCP :
- Prendre en compte la protection des DCP dès la conception d’une application ou d’un traitement.
- Sensibiliser les collaborateurs du cabinet aux problématiques de protection des DCP.
- Traiter les réclamations et demandes des personnes quant à l’exercice de leurs droits.
- Notifier à l’autorité de contrôle et communiquer aux personnes concernées la violation de données personnelles.
Documenter la conformité
L’entreprise doit conserver les preuves de la conformité des traitements des DCP.
La documentation sur le traitement des DCP :
- Le registre des traitements.
- Les analyses d’impact.
- Encadrement des transferts de données hors de l’UE.
L’information des personnes :
- Les mentions d’informations.
- Les preuves du recueil du consentement des DCP.
Les contrats qui définissent les rôles et les responsabilités des acteurs :
- Les contrats avec les sous-traitants.
- Les procédures internes en cas de violation de données.
« Consentement explicite et positif » des intéressés : l’accord doit être obtenu de façon claire et non par défaut, par les entreprises ou organisations exploitant de telles données.
Le « Droit à l’effacement » : il remplace le « droit à l’oubli » et peut être invoqué pour 6 motifs. La purge des fichiers doit être exécutée « dans les meilleurs délais ».
Le « Droit à la portabilité des données personnelles » : chacun peut exiger d’un responsable de traitement que le fichier de ses données individuelles lui soit remis « dans un format structuré, couramment utilisé et lisible par machine ».
Le « Profilage » : toute personne peut refuser de faire l’objet d’une décision fondée sur un traitement automatisé, y compris le « profilage », ayant des effets juridiques ou l’affectant de fait.
La protection des données « dès la conception » (‘privacy by design’) et un « dispositif de « sécurité par défaut » :
- Le responsable de traitement doit prendre des mesures préventives de protection des données personnelles dès la conception des produits, services ou systèmes qui doivent donc être sécurisés.
À lire : Comment se protéger des virus informatiques ?
La « notification en cas de fuite, vol ou violation de données » : le détenteur de données personnelles doit avertir, « dès que possible » et dans un délai maximal de 72 heures, l’autorité nationale de protection (la CNIL, en France). La mesure ne s’applique pas s’il est établi que les données sont chiffrées, réputées inviolables, et elle est assortie d’exception pour les organisations de moins de 250 salariés.
Une étude d’impact : tout traitement ou activité traitant de données à caractère personnel doit être précédé d’une « étude d’impact sur la vie privée » qui prévoit des mesures préventives de protection de ces données.
Attention arnaques !
Attention aux faux courriers, faux mails ou fax, les escrocs tirent profit des craintes suscitées par le RGPD. La mise en conformité RGPD implique une véritable démarche et un accompagnement dans votre entreprise. Méfiez-vous des démarchages avec une promesse de mise en place rapide et simple « clé en main ».
Ci-dessous quelques modèles de démarchages pour mise en conformité RGPD « clé en main ».
https://www.interieur.gouv.fr/fr/Actualites/L-actu-du-Ministere/Tentatives-d-escroqueries-au-RGPD
https://www.cnil.fr/fr/vigilance-demarchages-trompeurs-mise-en-conformite-rgpd
https://www.lenetexpert.fr/alerte-arnaque-au-rgpd-faux-fax-faux-courriers-de-mise-en-conformite-rgpd/
En cas de doute contactez la CNIL au +33 (0)1 53 73 22 22
Afin de vous aider à y voir plus clair sur le RGPD, nous organisons des Matinales sur ce sujet : le 16 octobre à Saint-Etienne, le 18 octobre à Andrézieux et le 19 octobre à Lyon.
Source de l’article RGPD comment se mettre en conformité : Axens Audit cabinet d’expertise comptable.
