Étiquette : RGPD

Quelques bonnes pratiques pour être « RGPD compatible » et gagner du temps !

 

> Disposer d’un Délégué à la Protection des Données (DPO) qui pilote la gouvernance des données personnelles de l’entreprise et exerce une mission d’information, de conseil et de contrôle en interne.

 

> Prendre en compte la protection des données personnelles dès la conception d’une application ou d’un traitement : minimisation de la collecte de données au regard de la finalité, cookies, durée de conservation, mentions d’information, recueil du consentement, sécurité et confidentialité des données, rôle et responsabilité des acteurs impliqués dans la mise en oeuvre de traitements de données.
Le Délégué à la Protection des Données doit être sollicité.

 

> Sensibiliser et organiser la remontée d’information en construisant notamment un plan de formation et de communication auprès des collaborateurs.

 

> Traiter les réclamations et les demandes des personnes concernées quant à l’exercice de leurs droits (droits d’accès, de rectification, d’opposition, droit à la portabilité, retrait du consentement) en définissant les acteurs et les modalités (l’exercice des droits doit pouvoir se faire par voie électronique, si les données ont été collectées par ce moyen).

 

> Anticiper les violations de données en prévoyant, dans certains cas, la notification à l’autorité de protection des données dans les 72 heures et aux personnes concernées dans les meilleurs délais.

 

 

L’analyse d’impact sur la protection des données (PIA) : pour les traitements susceptibles d’engendrer des risques élevés

 

Qu’est-ce qu’une analyse d’impact sur la protection des données (PIA) ?

 

C’est une étude aidant à construire des traitements de données respectueux de la vie privée et permettant de démontrer la conformité de son traitement au RGPD.

 

Un PIA est un outil d’évaluation d’impact sur la vie privée qui repose sur 2 piliers :
> Les principes et droits fondamentaux, « non négociables », fixés par la loi. Ils ne peuvent faire l’objet
d’aucune modulation, quelles que soient la nature, la gravité et la vraisemblance des risques encourus.
> La gestion des risques sur la vie privée des personnes concernées, qui permet de déterminer les mesures techniques et d’organisation appropriée pour protéger les données personnelles.

 

 

Un PIA contient :
> Une description du traitement étudié et ses finalités
> Une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités
> Une évaluation des risques pour les droits et libertés des personnes concernées, ainsi que les mesures envisagées pour faire face aux risques

 

 

Quand mener une analyse d’impact sur la protection des données (PIA) ?

 

Mener un PIA est obligatoire pour tout traitement susceptible d’engendrer des risques élevés pour les droits et libertés des personnes concernées (article 35 du RGPD).

 

Pour vous aider à déterminer le degré de risque, les 9 critères suivants sont définis :
> Évaluation ou notation
> Décision automatisée avec effet juridique ou effet similaire significatif
> Surveillance systématique
> Données sensibles ou données à caractère hautement personnel
> Données personnelles traitées à grande échelle
> Croisement d’ensembles de données
> Données concernant des personnes vulnérables
> Usage innovant ou application de nouvelles solutions technologiques ou organisationnelles
> Exclusion du bénéfice d’un droit, d’un service ou contrat

 

Si votre traitement rencontre au moins 2 de ces critères, alors il est vivement conseillé de faire un PIA.

 

De manière générale, le PIA est une bonne pratique pour créer un traitement conforme au RGPD et respectueux de la vie privée, que celui-ci soit susceptible ou non d’engendrer des risques élevés. Il doit être réalisé avant la mise en oeuvre du traitement. C’est un processus itératif, les analyses doivent être revues et corrigées de manière régulière, en particulier lors de changements majeurs des modalités d’exécution du traitement.

 

 

Qui participe à l’élaboration de l’analyse d’impact ?

 

> Le responsable de traitement : valide le PIA et s’engage à mettre en oeuvre le plan d’actions défini

 

> Le délégué à la protection des données : élabore le plan d’actions et se charge de vérifier son exécution

 

> Le(s) sous-traitant(s) : fourni(ssen)t les informations nécessaires à l’élaboration du PIA

 

> Les métiers (RSSI, maîtrise d’ouvrage, maîtrise d’oeuvre) : aident à la réalisation du PIA en fournissant les éléments adéquats

 

> Les personnes concernées : donnent leurs avis sur le traitement

Le règlement européen sur la protection des données impose depuis le 25 mai 2018 de nouvelles contraintes aux entreprises concernant le traitement des données à caractère personnel. Les entreprises ne respectant pas le RGPD seront passibles d’une sanction financière allant jusqu’à 4 % du chiffre d’affaires annuel mondial ou 20 millions d’euros. L’objectif de l’Europe est d’offrir un cadre renforcé et harmonisé de la protection des données tenant compte des récentes évolutions technologiques (big data, objets connectés, intelligence artificielle) et des défis qui accompagnent ces évolutions.

 

 

Qui est concerné ?

 

Toute entité juridique, publique ou privée, qui procède à la collecte, au stockage et/ou à l’utilisation de données à caractère personnel de citoyens de l’Union Européenne, et ce, que cette entité juridique :
> Se situe dans l’Union Européenne ou hors Union Européenne,
> Procède au traitement de ces données à caractère personnel :
– Elle-même ou qu’elle le donne en sous-traitance,
– Pour son propre compte ou pour le compte de tiers.

 

 

Qui sont les acteurs du traitement des données personnelles dans l’entreprise ?

Qui est responsable en cas de non-conformité ?

 

Une fuite de données ou une non-conformité au RGPD peut avoir de multiples impacts pour les prestataires, les partenaires et les clients mais surtout pour l’entreprise elle-même en termes d’image et de réputation. En cas de non-respect de la loi sur les données personnelles, le responsable légitime est le mandataire social de l’entreprise.

 

 

De quels nouveaux droits et obligations parle-t-on ?

 

Pour être en conformité avec le RGPD, les entreprises devront présenter plusieurs documentations portant sur :

 

Les contrats qui définissent les rôles et les responsabilités des acteurs
> Les contrats avec les sous-traitants
> Les procédures internes en cas de violations de données
> Les preuves que les personnes concernées ont donné leur consentement lorsque le traitement de leurs données repose sur cette base.
Les traitements de données personnelles
> Le registre des traitements (pour les responsables de traitements) ou des catégories d’activités de traitements (pour les sous-traitants)
> Les analyses d’impact sur la protection des données (PIA : cf. fiche technique jointe) pour les traitements susceptibles d’engendrer des risques élevés pour les droits et libertés des personne

> L’encadrement des transferts de données hors de l’Union Européenne (notamment, les clauses contractuelles types, les BCR et certifications).

 

L’information des personnes
> Les mentions d’information
> Les modèles de recueil du consentement des personnes concernées
> Les procédures mises en place pour l’exercice des droits.

 

 

À quelles sanctions les entreprises s’exposent-elles en cas de non-conformité ?

 

Les sanctions administratives sont diverses : avertissement, mise en demeure de l’entreprise, limitation temporaire ou définitive d’un traitement, suspension des flux de données, ordre de satisfaire aux demandes d’exercice des droits des personnes, ordre de rectifier, limiter ou effacer des données. S’agissant des nouveaux outils de conformité qui peuvent être utilisés par les entreprises, l’autorité peut retirer la certification délivrée ou ordonner à l’organisme de certification de retirer la certification.

 

Amendes :
> Non respect du droit au « testament numérique » : 3 M€
> Manquement aux principes essentiels et obligations du RGPD : 10 M€ ou 2 % du CA
> Manquement aux principes et aux droits des personnes : 20 M€ ou 4 % du CA.

 

COMMENT LA CNIL CONTRÔLERA LE RESPECT DU RGPD À PARTIR DU 25 MAI 2018 ?

 

D’une manière générale, les pouvoirs de contrôle de la CNIL restent inchangés. La principale nouveauté réside dans le fait que les contrôles effectués sur des acteurs internationaux s’effectueront dans un contexte de coopération très poussée qui conduira à une décision harmonisée à portée européenne.

 

La CNIL distinguera deux types d’obligations s’imposant aux professionnels :
> Les principes fondamentaux de la protection des données restent pour l’essentiel inchangés (loyauté du traitement, pertinence des données, durée de conservation, sécurité des données…). Ils continueront donc à faire l’objet de vérifications rigoureuses par la CNIL.

> Pour ce qui est des nouvelles obligations ou des nouveaux droits résultant du RGPD (droit à la portabilité, analyses d’impact…), les contrôles opérés auront essentiellement pour but, dans un premier temps, d’accompagner les organismes vers une bonne compréhension et la mise en oeuvre opérationnelle des textes. En présence d’organismes de bonne foi, engagés dans une démarche de conformité et faisant preuve de coopération avec la CNIL, ces contrôles n’auront normalement pas vocation à déboucher, dans les premiers mois, sur des procédures de sanction sur ces points.