Prêts pour le RGPD ?

Le 25 mai 2018 est entré en vigueur le règlement général sur la protection des données. Voici les étapes à suivre pour vous mettre en conformité.

Désignez un correspondant informatique et liberté

C’est lui qui pilotera les différentes actions qui vont suivres.

Vous devez constituer un registre de vos traitements de données

Tout d’abord, vous devez lister toutes les activités de traitement de votre entreprise dans une fiche registre. Ensuite, il vous faudra documenter cette fiche, conformément à l’article 30 du RGPD.
Voici un exemple de registre des activités de traitement fournit pas la CNIL.

Lister vos différentes activités :

• Les activités de traitement liées au marketing :
  • La prospection commerciale
  • Le site web
  • La newsletter (collecte de l’email)
  • Les activités sur les réseaux sociaux
  • La prospection (collecte des cartes de visite)
• Les activités de traitement liées aux opérations commerciales :
  • La vente de vos produits et services
  • La facturation
  • La comptabilité
  • Le suivi et la gestion des devis
• Les activités de traitement liées aux ressources humaines :
  • Gestion des personnels (paye, avancement, déclarations sociales obligatoires…)
  • La formation
  • Le recrutement (constitution d’une base CV…)
• Le contentieux
• La gestion des obligations RGPD (le registre va généralement impliquer la mise en oeuvre de traitements de données personnelles…)

Une fois que vous aurez listé toutes les activités de traitement mises en oeuvre par votre entreprise, il sera nécessaire de détailler chaque fiche registre et de préciser les finalités du traitement de ces données. L’exemple de la gestion de la facturation, elle ne se limite pas à l’édition des factures, vous pouvez y ajouter toutes les activités annexes, telles que : la gestion de l’historique des échanges commerciaux (données dont la conservation est déterminante en cas de contentieux), la gestion des taxes (TVA), etc.

Pensez ensuite ajouter le détail des mentions obligatoires qui sont imposées par l’article 30, et notamment prévoir :

• Les destinataires des données (avez-vous pensé aux administrations fiscales ? Et à la CNIL qui légalement peut avoir accès aux données).
• Les délais de conservation des données (que vous devez déterminer précisément).

Ce registre de traitement doit comporter les informations suivantes :

• Le nom et les coordonnées du responsable du traitement et, le cas échéant, du responsable conjoint du traitement, du représentant du responsable du traitement et du délégué à la protection des données ;
• Les finalités du traitement ;
• Une description des catégories de personnes concernées et des catégories de données personnelles ;
• Les catégories de destinataires auxquels les données personnelles ont été ou seront communiquées, y compris les destinataires dans des pays tiers ou des organisations internationales ;
• Le cas échéant, les transferts de données personnelles vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l’article 49, paragraphe 1, deuxième alinéa, les documents attestant de l’existence de garanties appropriées ;
• Dans la mesure du possible, les délais prévus pour l’effacement des différentes catégories de données personnelles ;
• Dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l’article 32, paragraphe 1.

Comment déterminer la durée de conservation des données personnelles ?

Le règlement a posé des critères précis pour déterminer cette durée. L’article 5.1.e indique que les données personnelles doivent être :

• conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées;
• Cette durée doit être liée aux finalités définies par le responsable de traitement et elle ne doit pas être excessive.

Prenons l’exemple d’une newsletter pour votre blog afin d’envoyer des informations sur les activités de l’entreprise. Vous devez d’abord définir les finalités du traitement ; ici, l’envoi d’une newsletter sur les activités de l’entreprise. C’est cette première étape qui est indispensable à la définition des délais de traitement. Ensuite, vous allez pouvoir vous demander combien de temps avez-vous besoin de traiter les données personnelles ? Il est a minima indispensable de traiter les données tant que la personne est inscrite à notre newsletter. Ici le délai de conservation sera donc « le temps d’inscription à la newsletter ».

C’est un des éléments de complexité implicite dans la définition posée par le RGPD ; le délai doit être clairement défini, mais il peut être défini par rapport à des éléments variables : ici le temps pendant lequel une personne souhaite rester inscrite. Ce délai va donc varier en fonction des personnes, mais il est licite et respecte les critères posés par le RGPD.
Pour un abonnement à une box de vin ou de bière par exemple, cela peut-être « le temps de l’abonnement », ou « le temps du service ». Toutefois, vous devez aussi tenir compte des conflits juridiques qui peuvent survenir pendant la durée de l’abonnement et qui imposent de conserver les données de facturation le temps de la prescription commerciale. Ici, donc, le délai de prescription étant 5 ans, les données seront conservées le temps de l’abonnement + 5 ans. Attention, certains délais de conservation sont fixés par la loi (base légale : obligation légale).

Le second critère posé par le RGPD indique que le délai ne doit pas être excessif. Si l’article 5.1.e précise que le délai ne doit pas être excessif, le considérant 39 est lui nettement plus restrictif : « Cela exige, notamment, de garantir que la durée de conservation des données soit limitée au strict minimum. Les données à caractère personnel ne devraient être traitées que si la finalité du traitement ne peut être raisonnablement atteinte par d’autres moyens. Afin de garantir que les données ne sont pas conservées plus longtemps que nécessaires, des délais devraient être fixés par le responsable du traitement pour leur effacement ou pour un examen périodique. »

Vous devez donc tenter d’opérer le traitement des données personnelles le minimum de temps possible. Ce qui est important pour le responsable du traitement, c’est de pouvoir clairement justifier de la durée du traitement.

Faites le tri dans les données que vous stockés

Ce registre vous à normalement permis de vous interroger sur les données réellement utiles pour votre entreprise.

Pour chaque fiche de registre créée précédemment vous devez vérifiez que :
Les données que vous traitez sont réellement nécessaires aux activités de l’entreprise.
Vous ne traitez aucune donnée dite « sensible » ou dans le cas contraire que vous les autorisations nécessaires pour les traiter.
Seules les personnes habilitées ont accès aux données dont elles ont besoin.
Vous respectez les délais de conservation des données nécessaires.

Essayez de minimiser la collecte de données, en éliminant de vos formulaires de collecte et vos bases de données toutes les informations inutiles.

Les données sensibles RGPD

Elles sont énumérées aux articles 9 et 10 du règlement et sont, toute donnée faisant apparaître de manière directe ou indirecte :

• L’origine raciale ou ethnique des personnes.
• Les opinions politiques, les convictions religieuses ou philosophiques.
• L’appartenance syndicale.
• Les données génétiques.
• Les données biométriques aux fins d’identifier une personne physique de manière unique.
• Les données concernant la santé.
• Les données concernant la vie sexuelle ou des données faisant apparaître l’orientation sexuelle d’une personne physique.
• Les condamnations pénales.
• Les infractions.
• Les mesures de sûreté.

Respectez le droit des personnes

Avec le règlement, vous avez un obligation d’information et de transparence à l’égard des personnes dont vous traitez les données (clients, collaborateurs, etc.).

Vous devez informer les personnes à chaque fois que vous collectez des données personnes sur elles.
Le support de collecte des données que ce soit un formulaire, un questionnaires, etc. doit comporter mentions suivantes :

• La finalité de la collecte, exemple : la gestion de l’achat en ligne.
• Ce qui vous autorise à collecter ces données : le fondement juridique, par exemple le consentement de la personne.
• Qui aura accès à ces données, exemple : le service compétent.
  Combien de temps allez vous conserver ces données (voir les “Comment déterminer la durée de conservation des données personnelles ?”).
• Les modalités d’exercice du droit, exemple : via l’espace personnel du site ou via une adresse e-mail dédiée à la protection des données. Les personnes dont vous traitez les données (clients, collaborateurs, prestataires, etc.) ont des droits sur leurs données (droit d’accès, de rectification, d’opposition, d’effacement, à la portabilité et à la limitation du traitement).
• Si vous transférez ces données à l’extérieur de l’UE, vous devez préciser le pays et l’encadrement juridique qui garantie la protection des données.

La CNIL vous fournit des exemples de mentions.

Sécurisez les données que vous collectez

• Sensibiliser les utilisateurs.
• Sécuriser l’accès aux données afin d’identifier tout utilisateur et vérifier qu’il soit autorisé à y accéder.
• Gérer les habilitations.
• Tracer les accès et gérer les incidents.
• Sécuriser les postes de travail.
• Sécuriser l’informatique mobile.
• Protéger le réseau informatique interne.
• Sécuriser les données à la source de la collecte, c’est-à-dire faire en sorte que dès la collecte ces données soient sécurisées.
• Sécuriser le stockage pour garantir l’intégrité et la confidentialité des données.
• Optimiser la sauvegarde afin de pouvoir restaurer rapidement les données en cas de perte ou de destruction non désirée.
• Sécuriser les serveurs.
• Sécuriser les sites web.
• Sauvegarder et prévoir la continuité d’activité.
• Archiver de manière sécurisée.
• Encadrer la maintenance et la destruction des données.
• Gérer la sous-traitance.
• Sécuriser les échanges avec d’autres organismes.
• Protéger les locaux.
• Encadrer les développements informatiques.
• Chiffrer, garantir l’intégrité ou signer.

Des exemples de questions à vous poser :

• Les comptes utilisateurs internes et externes sont-ils protégés par des mots de passe d’une complexité suffisante ?
• Les accès aux locaux sont-ils sécurisés ?
• Des profils distincts sont-ils créés selon les besoins des utilisateurs pour accéder aux données ?
  Avons-nous mis en place une procédure de sauvegarde et de récupération des données en cas d’incident ?

Si malgré tous les moyens mis en place pour protéger vos données vous êtes victime d’une violation, vous êtes dans l’obligation de déclarer à la CNIL :

• La nature de la violation, si possible les catégories et le nombre approximatif de personnes concernées et d’enregistrement de données à caractère personnel concerné.
• Le nom de la personne à contacter pour obtenir les informations supplémentaires si nécessaire.
• Les conséquences probables de la violation.
• Et les mesures prises ou proposées d’être prises pour remédier à la violation, notamment les mesures pour en atténuer les éventuelles conséquences négatives.

À l’issue de ces différentes étapes, vous serez en capacité d’assurer une protection des données personnelles en continu et de faire face aux incidents.