RGPD, les bonnes questions à se poser.
QU’EST CE QUE LE RGPD? REGLEMENT GENERAL SUR LA PROTECTION DES DONNEES PERSONNELLES
Un nouveau règlement sur la protection des données personnelles entrera en vigueur le 25 mai 2018. Ce nouveau règlement s’appliquera à l’identique dans tous les pays de l’UE. Il apporte des changements importants en poursuivant trois objectifs :
- Renforcement des droits des personnes,
- Responsabilisation des acteurs traitant les données,
- Amélioration de la régulation.
Il reprend les grands principes de la Loi Informatique et Libertés en y ajoutant de nouveaux : protection des données personnelles dès la conception du traitement et par défaut, responsabilisation de tous les acteurs de la chaîne du traitement des données.
Toutes les entreprises sont concernées puisqu’elles collectent toutes, a minima, des données personnelles sur leurs salariés, clients et fournisseurs.
1/ Est-ce que ma structure traite des données personnelles ?
Toute donnée qui permet d’identifier directement ou indirectement une personne physique est considéré comme une donnée personnelle (ex : nom, prénom, adresse postale, adresse mail, n° de téléphone, n° de sécurité sociale, adresse IP,…).
Si oui, je suis tenu d’établir un registre des traitements.
Pour cela, je dois lister les différents types de traitements et préciser pour chaque type de traitement :
- Quelles données sont traitées
- Quels sont les objectifs poursuivis
- Quels sont les acteurs (internes et externes) qui traitent les données
- Quels sont les flux (origine et destination) des données – vérifier notamment si des données sont transférées hors UE
(Se poser les questions suivantes : qui ? quoi ? pourquoi ? où ? jusqu’à quand ? comment ?)
2/ Existe-t-il en interne ou en externe une personne chargée de veiller à la mise en conformité avec la règlementation et le RGPD?
Si non, je réfléchis à l’opportunité de désigner un pilote en fonction des traitements réalisés.
Il est obligatoire de désigner un délégué à la protection des données personnelles pour les organismes publics et les entreprises dont l’activité de base les amène à réaliser un suivi régulier et systématique des personnes à grande échelle, ou à traiter à grande échelle des données sensibles ou relatives à des condamnations pénales et infractions.
3/ Quels sont les points à vérifier ?
- Je m’assure que je ne collecte que les données strictement nécessaires à l’objectif que je poursuis ;
- Je vérifie que j’ai le droit de collecter les données (consentement des personnes, contrat, obligation légale…) ;
- Je vérifie comment j’informe les personnes concernées du traitement de leurs données personnelles : je vérifie en particulier mon site internet, mes CGV, mes contrats ;
- Je vérifie que mes sous-traitants respectent leurs obligations; je prends soin de réviser mes contrats pour responsabiliser mes sous-traitants ;
- Je vérifie les mesures de sécurité mises en place ;
- Je vérifie si je suis soumis à des obligations renforcées (données sensibles, profilage, transferts hors UE)
4/ Quels processus internes dois-je mettre en place pour être en conformité avec le RGPD ?
- Dès la conception d’une application ou d’un traitement, je veille à respecter la règlementation (je collecte uniquement les données strictement nécessaires, je ne les conserve que pour une durée strictement nécessaire, je recueille le consentement des personnes, je veille à la sécurisation des données…) ;
- Je sensibilise le personnel sur les risques et je le forme;
- Je mets en place les moyens matériels et humains permettant de traiter les réclamations et demandes des personnes concernées: comment les personnes concernées peuvent-elles contacter ma structure pour exercer leurs droits ? qui traite les demandes ? comment les demandes sont-elles traitées ?
- Je mets en place les moyens matériels et humains permettant de contrôler périodiquement mes sous-traitants;
- Je conserve tous les documents permettant de justifier auprès des autorités que je suis en conformité: registre des traitements, contrats avec les sous-traitants, preuves que les personnes ont donné leur consentement, …
- J’anticipe le cas d’une violation des données: je sais que je dois notifier toute violation à la CNIL dans les 72 heures ; je sais qui peut m’assister pour effectuer cette notification et qui est en charge de cette notification au sein de ma structure.
Concrètement, pour se mettre en conformité avec le RGPD, il est recommandé de :
– Faire vérifier le système informatique par le service informatique et/ou le prestataire informatique habituel de l’entreprise (sécurité, modalités de suppression et archivage des données, type de données collectées, manière dont les données sont collectées et stockées…) ;
– Faire vérifier les contrats par le service juridique et/ou un avocat spécialisé (contrats avec les clients et les fournisseurs, contrats de travail, contrats avec les prestataires informatiques, …) ;
– Envisager de souscrire une assurance « cyber » en fonction des risques liés aux données traitées et à l’activité