Les enjeux du RGPD pour les PME : ce qui change et comment s’y préparer

En mai 2018, le nouveau règlement européen relatif à la protection des données (RGPD) entrera en vigueur. Il aura un impact direct sur la manière de traiter les données personnelles et la protection de la vie privée. Il implique de ce fait toute une série de changements techniques, juridiques ou opérationnels pour toutes les entreprises, petites ou grandes. Êtes-vous prêt ?

RGPD ou GPDR : mais de quoi parle-t-on ?

Tout le monde en parle. Les articles sur le sujet sont légion. Certaines TPE/PME pensent que cela ne concerne que les grands groupes. Beaucoup sont mal informées et peu ou pas préparées. Alors si vous n’avez pas encore pris la peine de vous renseigner ou de chercher en quoi cela vous concerne, voici une rapide mise en contexte.

Le RGPD est le nouveau texte de référence européen en matière de protection des données à caractère personnel. Nom de code : RGPD (acronyme français de Règlement Général de Protection des Données) ou GPDR (son équivalent anglais, General Data Protection Regulation).  Vous trouverez en fin d’article le lien vers le texte complet du Règlement.

Bref historique : de la nécessité d’une nouvelle règlementation

Le RGPD remplace l’actuelle Directive sur la protection des données personnelles adoptée en 1995.

En 1995, l’Europe a approuvé les principes de la vie privéeet de la protection des données personnelles dans la directive sur la protection des données. Toutefois, une directive n’est pas une loi, elle doit donc être traduite par les États membres en législation locale. Ce qui a conduit à 28 lois différentes, dont les conséquences étaient les suivantes :

• difficile à appliquer pour les entreprises opérant au niveau international
• moins bonne protection pour les consommateurs dans certains pays
• peu efficace auprès de grandes entreprises comme Google et Facebook

De plus, ces règles ont maintenant 20 ans et sont insuffisamment adaptées aux nouveaux développements comme l’IOT, les applications mobiles ou le cloud. (source : UBA)

Il aura fallu 4 ans de négociations, 99 articles et 4 000 amendements pour aboutir à un texte unique adopté par le Parlement européen en avril 2016.

Le RGPD n’est pas une directive mais un règlement. Ce qui veut dire qu’il n’y a pas de transposition nationale et que le nouveau règlement est d’effet direct dans chaque loi nationale. Il sera donc directement applicable dans tous les pays d’Europe, dès son entrée en vigueur le 25 mai 2018.

Le RGPD concerne toutes les entreprises de toute taille et de tous secteurs, dans toute l’Europe (voire même hors Europe pour peu qu’elles traitent de données personnelles de citoyens européens).

Les entreprises ont deux ans pour se mettre en conformité, d’avril 2016 à mai 2018. Et celles qui ne le seront pas à cette date s’exposeront à des sanctions financières. Bien sûr cela touchera d’avantage les organismes publics et les entreprises du CAC 40 mais toutes sont impactées, comme nous le verront par la suite.

Objectif du RGPD

L’objectif du RGPD est d’établir une règlementation européenne unique applicable à tous les États membres de l’UE, adaptée à l’évolution des technologies et garantissant la protection des données personnelles des citoyens européens. Un règlement qui touche toutes les entreprises basées en Europe mais aussi les fournisseurs basés hors de l’UE qui proposent des services en Europe.

LA RÉFORME DE LA PROTECTION DES DONNÉES POURSUIT TROIS OBJECTIFS :

• Renforcer les droits des personnes, notamment par la création d’un droit à la portabilité des données personnelles et de dispositions propres aux personnes mineures ;
• Responsabiliser les acteurs traitant des données (responsables de traitement et sous-traitants) ;
• Crédibiliser la régulation grâce à une coopération renforcée entre les autorités de protection des données, qui pourront notamment adopter des décisions communes lorsque les traitements de données seront transnationaux et des sanctions renforcées. (source : CNIL)

Champ d’application du nouveau règlement

QUOI : toute donnée à caractère personnel

Le RGPD s’applique à toutes les informations concernant une personne physique identifiée ou identifiable, y compris les données personnelles indirectes.

Toutes les données personnelles sont concernées, c’est-à-dire les éléments les plus communs (identité, photo, adresse mail, numéro de téléphone, etc.), mais aussi des informations portant sur les caractéristiques physiques, culturelles, sociales, jusqu’à des éléments comportementaux digitaux comme les adresses IP, les identifiants et mots de passe ou encore les habitudes de navigation Internet. (source : PWC)

Le traitement des données dites « sensibles » – telles que les données révélant l’origine raciale, ethnique, les opinions politiques, les convictions religieuses et philosophique etc. –, est en principe interdit. Il est en tout état de cause fortement limité par la loi. La prudence est donc de mise s’agissant de ce type de données. (source : 1819)

Le RGPD concerne à la fois les données brutes (data) et les enseignements qu’on en retire (insights).

Le RGPD s’applique aux traitements des données personnelles, qu’ils soient automatisés ou non.

On définit par traitement de ces données, « toute opération- automatisée ou en partie, ou non automatisée – de données », tels que la collecte, l’enregistrement, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion mais aussi l’effacement ou la destruction. (source : PWC)

Quelques illustrations de traitements coutants de données à caractère personnel : Gestion du personnel et des rémunérations, trombinoscope et annuaire d’entreprise, gestion des fournisseurs, gestion de la comptabilité, gestion des clients et des opérations commerciales, de fidélisation et de prospection, gestion des outils informatiques, lutte contre la fraude (interne / externe), surveillance (vidéo, alarme, contrôle des accès …), PRA/PCA/PSI, etc.  (Source : avistem)

QUI : toute entreprise traitant des données de citoyens européens

Le RGPD s’applique à toute entreprise traitant des données à caractère personnel (DCP) concernant des personnes résidant sur le territoire de l’UE, que l’entreprise soit établie ou non dans l’UE.

Un champ d’application territorial considérablement élargi puisque les entreprises non-européennes qui offrent des biens ou des services à des personnes situées dans l’Union européenne devront respecter la nouvelle règlementation. (source : 1819)

Le RGPD s’applique aux responsables du traitement des données et à leurs sous-traitants.

Le « responsable de traitement » est la personne, physique ou morale, qui détermine – seule ou conjointement avec d’autres – les finalités (c.-à-d. les objectifs poursuivis) et les moyens du traitement de données. (source : 1819)

Le responsable du traitement est considéré comme acteur économique responsable. C’est à lui de prendre les mesures techniques et organisationnelles visant à garantir le respect de la règlementation. Il n’a plus à déclarer son traitement, ni à solliciter une autorisation préalable. En revanche, il se doit de tout documenter. (source : lemagIT)

Les responsabilités sont partagées et davantage précisées entre le responsable du traitement et le(s) sous-traitant(s). À titre d’exemple, si une personne concernée par un traitement de données subit un dommage parce que le règlement n’a pas été respecté, celle-ci pourra se retourner contre le responsable du traitement, et/ou contre le sous-traitant. En effet, ils sont tenus solidairement responsables du dommage subi par la personne. (source : 1819)

Traitement des Données Personnelles : ce qui change

Le RGPD apporte des changements fondamentaux au traitement des données personnelles. Ce qui implique pour les entreprises d’adapter leurs processus opérationnels et informatiques (notamment en matière de sécurité, de transparence, de responsabilité et de notification de fuites de données) et éventuellement de revoir leur encadrement juridique (contrat, clause de respect de la vie privée, disclaimer sur site web, etc.).

Les changements clés

Droit des personnes (articles 6 à 8, 12 à 17, 19 à 21)

1. Droit d’accès : Chaque personne concernée a le droit de savoir comment ses données personnelles sont traitées et dans quel but. Les entreprises doivent donc donner aux citoyens davantage de contrôle sur leurs données privées.
2. Consentement clair et explicite : Chaque personne doit donner son accord par un « acte positif clair » (art. 6 et 7) Dans le cas de mineur âgé de moins de 16 ans, le consentement doit être recueilli auprès du titulaire de l’autorité parentale (art. 8).

Le consentement est un point central du nouveau règlement. Ce dernier impose d’obtenir un consentement explicite à des finalités précises. A ce jour, les entreprises demandent majoritairement (65%) une « autorisation large couvrant une multitude d’activités. » (source : ZDnet)

3. Droit à l’effacement (version allégée du « droit à l’oubli ») : chaque personne a le droit d’obtenir l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant (art. 17).
4. Portabilité des données : les personnes ont le droit de recevoir et réutiliser leurs données personnelles et de les transmettre à un autre prestataire, dans un format structuré, lisible par tous (par exemple en cas de changement de fournisseur) (art. 20).
5. Profilage et automatisation : toute personne a le droit de ne pas être soumise à une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l’affectant de manière significative (art. 22).

Responsabilité des entreprises (articles 24 à 30)

6. Principe d’accountability
   Tout responsable de traitement ou sous-traitant est responsable des données qu’il traite.
   
   Pour preuve de leur bonne gouvernance, les entreprises de plus de 250 personnes ont l’obligation de conserver un registre de tous les traitements effectués sous leur responsabilité.Les PMEs sont donc exemptées sauf si les traitements sont susceptibles de comporter un risque pour les droits et libertés des personnes concernées, si le traitement n’est pas occasionnel ou s’il porte sur des données sensibles (médicales, judiciaires,…).

L’obligation de documentation interne comporte une exception pour les entreprises comptants moins de 250 employés. Cette exception a une portée très limitée et c’est pour cette raison que la Commission vie privée recommande malgré tout à tous les responsables de traitement et sous-traitants d’établir un Registre. (source : Commission Vie Privée)

Ce registre n’est pas public mais doit pouvoir être mis à tout moment à disposition des autorités de contrôle afin de vérifier la conformité du traitement avec le règlement. En cas de litige, le professionnel devra démontrer qu’il a rempli ses obligations en matière de protection des données grâce à la tenue de ce registre.
Le contenu de ce registre doit impérativement comprendre certaines informations (noms et coordonnées du responsable de traitement, les finalités de traitement, la catégorie de personne concernée, les délais de conservation etc.)

7. Protection des données dès la conception (Privacy by design) et sécurité par défaut (Privacy by default). Ces nouveaux principes imposent aux entreprises de prendre en compte la protection des données personnelles dès la conception des produits, services et systèmes exploitant des données à caractère personnel et de disposer d’un système d’information sécurisé (art. 25).

8. Protection des données et analyse d’impact
   Tout responsable de traitement ou sous-traitant doit assurer la protection des données des personnes concernées par le traitement : obligation d’analyse d’impact, suivi, obligations particulières pour les données sensibles, obligation de sécurité du traitement des données. (art. 32, 33.5, 35)
9. Notification des violations des données personnelles : les entreprises de plus de 250 salariés sont tenues de notifier l’autorité nationale de protection, si possible dans les 72 heures, en cas de violations graves de données afin que les utilisateurs puissent prendre des mesures appropriées (art. 33).A minima, toute entreprise devra en informer les personnes concernées et maintenir à jour une liste des traitements effectués. Il s’agit donc d’être proactif car il n’est plus possible de régulariser a posteriori.
10. Nomination d’un délégué à la protection des données (DPO ou Data Protection Officer) pour les organismes publics ou privés traitant des données sensibles (exemple clinique ou société de surveillance) ou à grande échelle (comme une banque) (art. 37).
11. Obligations liées aux contrats de sous-traitance – Obligation d’un contrat écrit, obligation de tenir un registre, mesures pour assurer l’accessibilité des données, etc.

Codes de conduite et certifications (art. 40 à 42)

Le RGPD prévoit l’approbation de codes de conduite et l’accréditation de certificats, labels et marques pour aider les responsables du traitement et les sous-traitants à démontrer leur conformité aux règles de protection des données.

Transferts transfrontaliers de données personnelles

Le RGPD exige une base légale adéquate pour les transferts de données personnelles vers des pays situés en dehors de l’EEE

Sanctions (Art.83)

Un point important : on passe d’un montant maximum de sanctions de 150 000 euros à des amendes pouvant s’élever à 20 millions d’euros, ou 4% du chiffre d’affaires annuel mondial de l’exercice précédent.

L’esprit de la loi : les 8 grands principes de la protection des données

Le cabinet Staub & Associés a identifié 8 grands principes qui sous-tendent le RGPD (source DafMag)

1. Principe de loyauté : les données personnelles doivent être traitées de manière loyale, licite et transparente. Obligation d’information renforcée et consentement des personnes nécessaire.
2. Principe de proportionnalité : les données personnelles ne peuvent être collectées que pour une finalité précise, expresse et légale.
3. Principe de minimisation : seules les données strictement nécessaires seront collectées.
4. Principe de réactivité : les données personnelles conservées doivent être exactes, précises et actuelles. Ce qui nécessite donc de les tenir à jour. Le responsable du traitement des données est tenu d’informer les personnes en cas de violation de leurs données personnelles.
5. Principe de sécurité : mise en place de dispositifs et procédures de sécurité, tant du côté du responsable du traitement que de ses sous-traitants.
6. Principe de conservation limitée : La durée de conservation doit être justifiée par la finalité du traitement. Les données qui ne sont plus utilisées doivent être supprimées.
7. Principe d’information : les personnes dont les données personnelles ont été collectées disposent de droits spécifiques : accès à l’information, rectification, effacement, portabilité… Elles peuvent les faire valoir à tout moment.
8. Principe de territorialité : si l’entreprise envisage de faire sortir en dehors de l’espace européen les données personnelles de personnes résidant en Europe, des précautions complémentaires sont nécessaires.

TPE ou PME : en quoi êtes-vous concerné ?

Aujourd’hui, toute entreprise, si petite soit-elle, collecte et traite des données à caractère personnel. Que ce soit via un formulaire de contact, une demande de devis sur son site internet ou sur sa page Facebook, via la souscription à un abonnement, une newsletter, une carte de fidélité ou l’inscription à une formation, à un événement, en cas d’actions d’emailing, ou lors de tout type de transaction commerciale (prise de rendez-vous, envoi d’offre, de facture, etc.) ou d’embauche (fiches personnelles).

Tous les services de l’entreprise qui traitent des données à caractère personnel sont concernés : service client, vente et marketing, ressources humaines, comptabilité, service juridique. La mise en conformité aura donc un impact sur toute l’organisation de votre entreprise – et pas seulement sur les services IT.

Changer d’approche : du quantitatif ou qualitatif

Le RGPD introduit un concept clé : la minimisation des données.

Selon ce principe, les données personnelles doivent être adéquates, pertinentes et limitées à ce qui est nécessaire en lien avec la finalité pour laquelle les données sont traitées. Cela implique de :

• Nettoyer vos bases de données, faire le tri et supprimer les données inutiles ou périmées
• Revoir vos stratégies de collecte de données pour ne plus récolter que les données directement utiles pour l’objectif visé (exemple : l’adresse mail + le nom suffisent pour s’inscrire à une newsletter).

La conformité au RGPD concerne l’ensemble de l’entreprise

En effet, la nouvelle réglementation implique que vous soyez capable de:

• Localiser toutes les données traitées par votre entreprise et documenter le traitement qui en est fait
• Identifier et sécurisertoutes les étapes de collecte et traitement des données personnelles
• Garantir le droit des personnes, ce qui implique de revoir vos CGV, contrats, etc.
• Obtenir le consentement explicite des personnes pour chaque traitement de données (employés, clients, prospects, candidats, etc.).
• Répondre rapidement à toute demande de correction, export ou suppression des données personnelles
• Limiterla collecte et le cumul des données dans le temps à ce qui est strictement nécessaire
• Informer vos collaborateurs afin de vous assurer que leurs pratiques sont conformes
• Surveilleret notifier l’autorité en cas d’incident (accès fortuit, perte accidentelle ou piratage avéré).

Concrètement : 5 chantiers à mettre en œuvre

1. Volet Gouvernance = adapter ou mettre en place une fonction de gestion des DCP (process de gestion du traitement, tenue d’un registre, désignation d’un responsable et/ou DPO)
2. Volet Risques et Contrôle = mettre en place ou renforcer les mécanismes de contrôle du traitement des DCP, évaluation des risques et analyse d’impact
3. Volet Information = assurer la transparence et la portabilité des DCP (opt-in, notification, recours)
4. Volet Sensibilisation = communiquer et sensibiliser les parties prenantes et acteurs concernés au sein de l’entreprise
5. Volet Juridique = mettre en conformité vos documents, contrats, formulaires de récolte de données, cookies, etc.

Impact spécifique pour les TPE/PME

Toutes les entreprises sont concernées mais à des degrés divers. Le principe de respect du droit des personnes, du traitement transparent et sécurisé des données personnelles est le même pour tous. La notion de responsabilité du traitement des données et de l’évaluation de l’impact et des risques potentiels s’applique également à toutes les entreprises qui manipulent les données de citoyens européens.

Pour autant, les contraintes sont plus « légères » pour les (très) petites entreprises.

Les PME sont dispensées d’un certain nombre d’obligations telles que la désignation d’un « délégué à la protection des données » (DPO), la consignation de leurs activités de traitement, ou l’analyse d’impact et le signalement systématiques de toutes les violations de données aux personnes physiques.

Le problème vient du fait que chacun de ces assouplissements est assorti d’un « à moins que », suivi d’un certain nombre de conditions qui risquent d’en limiter drastiquement la portée. Ainsi, nous connaissons personnellement peu d’entreprises, fussent-elles des TPE, des PME, des ETI ou de Grandes Entreprises qui ne lancent pas régulièrement des campagnes de marketing, conduites en interne ou sous-traitées à des tiers, à plus ou moins grande échelle et/ou nécessitant la collecte et la manipulation de données « sensibles » au sens du GDPR. Nous observons aussi que certaines activités, telles que les centres d’appels, les intermédiaires de prospection, les sociétés de sondage, les agences marketing et d’études de marché, etc. sont exercées par de très nombreuses TPE et PME. (source : lesechos.fr)

Source : Redsen Consulting

Les TPE/PME sont-elles prêtes ?

Il ressort d’une enquête menée par Dell en octobre 2016 que les services chargés de la sécurité des données dans les PME manquent d’information et ne seront pas prêts pour la date butoir.

• Plus de 80% des sondés ignorent tout ou presque du nouveau règlement.
• Près de 70% ne sont pas prêts ou ignorent si leur entreprise se prépare pour le RGPD
• 3% seulement disent avoir un plan pour tenir l’échéance.
• 44% des sondés en Allemagne se sentent préparés, alors qu’au Benelux ils ne sont que 26%
• Presque toutes les entreprises (97%) n’ont pas de plan en place pour l’arrivée du RGPD en 2018

Plus récemment, l’étude IDC confirme que les PME se sentent dépassées et ne disposent pas toutes des moyens financiers leur permettant de sécuriser leurs systèmes d’information, conformément aux exigences du RGPD.

Sur les 700 entreprises interrogées, 77% des décideurs informatiques ne sont pas conscients de l’impact du RGPD sur l’activité de leur entreprise ou n’ont même pas connaissance de ce règlement. Parmi celles qui connaissent le RGPD, 20% affirment y être déjà conformes, 59% travaillent à l’être et 21% avouent ne pas du tout être préparés.

Les petites et moyennes entreprises reconnaissent que leur logiciel anti-malware est insuffisant dans l’environnement de menace actuel, et la moitié des répondants ont avoué que ce point était le plus important à améliorer.

Coût, freins et opportunités de la mise en conformité

La conformité au RGPD a bien sûr un coût que déplorent certaines entreprises. Dans la plupart des cas, elles devront faire appel à un conseiller juridique ou à un expert externe pour évaluer leurs besoins et les aider à se mettre en conformité.

Par qui vous faire aider ?  Où trouver des réponses à vos questions ?

• En Belgique : sur le site de la Commission Vie Privée
• En France : sur le site de la CNIL

Les principaux freins à la mise en conformité par les TPE/PME relèvent de l’ignorance, du manque de temps et de moyens pour analyser, planifier et mettre en place les modifications nécessaires.

Source : Arondor

Néanmoins, le RGPD est aussi une opportunité pour les entreprises. En effet, c’est l’occasion d’améliorer vos pratiques pour les rendre plus efficaces et responsables.

• Repenser, documenter et rationaliser vos process de traitement des données personnelles
• Mettre à jour vos bases de données, vos mailing listes, vos CRM, etc. en éliminant les doublons, les données obsolètes ou non réglementaires (pas nécessaires pour l’objectif poursuivi).
• Adopter de bonnes pratiques de gestion des données et de respect du droit des personnes
• Renforcer la sécurité et la qualité des données

Ce faisant, la mise en conformité peut devenir un investissement rentable dans la mesure où vous créez de la valeur supplémentaire pour vos clients. S’ils se sentent en confiance et en sécurité, cela peut vous donner un avantage concurrentiel.

Source : Informatiquenews

Enfin, cette nouvelle règlementation unique représente une véritable opportunité pour les entreprises travaillant à l’international. Les règles sont désormais les mêmes dans tous les pays de l’UE, ce qui garantira de meilleures conditions de concurrence pour chaque entreprise, quel que soit son lieu d’implantation.

Risques et sanctions en cas de non-conformité

Des sanctions sont prévues tant pour les entreprises que pour les sous-traitants qui ne se conformeraient pas au nouveau règlement.

Les sanctions financières pourront aller jusqu’à 4 % du chiffre d’affaires mondial annuel d’une entreprise ou 20 millions d’euros (le montant le plus élevé étant retenu), en cas de non-respect (article 83.6).

Mais au-delà des sanctions financières, il faut aussi considérer l’impact négatif sur l’image et la réputation de votre entreprise. Ou encore le risque de suspension -voire suppression- de l’autorisation du traitement des données.

La mise en conformité de votre entreprise n’est donc pas à prendre à la légère.

Comment se mettre en conformité ?

Au-delà des contraintes qu’impose cette nouvelle réglementation, elle force chaque entreprise à prendre du recul et à questionner ses méthodes et ses usages.

• Quelle est la nature des données que je collecte ?
• Quel est leur niveau de protection et d’accessibilité ?
• Où sont-elles localisées et qui a le droit de les consulter ? Quel est leur cycle de vie ?
• Comment sont-elles gérées dans le temps ?
• Est-ce que des études d’impact sont mises en œuvre pour les traitements les plus sensibles ?

Typiquement la mise en conformité va permettre de faire le ménage dans l’amas de données collectées depuis plusieurs années et de travailler sur des solutions innovantes. Même le principe de minimisation énoncé dans le règlement peut présenter l’opportunité d’une collecte d’informations plus rationnelle et qualitative. Tout cela participe à la constitution et à la valorisation durable des actifs. Par ailleurs, c’est une occasion supplémentaire de mieux gérer sa sécurité via la mise en place de nouveaux outils. (source : PWC)

La CNIL a publié un document qui présente une méthodologie en 6 étapes pour se préparer et anticiper les changements liés à l’entrée en application du RGPD.

En résumé, voici les actions prioritaires à mettre en place pour vous conformer

1. Désigner un pilote

La nomination d’un DPO (Data Protection Officer) est obligatoire pour toute entreprise de plus de 250 personnes. Mais la nomination d’un responsable de la bonne gouvernance des données personnelles traitées par l’entreprise est conseillée dans tous les cas. Ce véritable chef d’orchestre exercera une mission d’information, de conseil et de contrôle en interne. Ce poste peut être occupé par un collaborateur ou confié à un prestataire externe (juriste).

2. Cartographier vos pratiques de traitement des données

Si ce n’est déjà fait, il est urgent de documenter vos pratiques de traitement de données. Vous devez dans un premier temps :

• Réaliser l’inventaire de tous les traitements de données personnelles (catégories de données, leur but et la personne qui en est responsable).
• Évaluer et documenter vos pratiques (gestion des réclamations et des plaintes, notification de violation de données, etc.)
• Identifier les risques potentiels et prendre les mesures nécessaires à leur prévention. Plus les données sont sensibles, plus cet aspect est critique (ex : sécurisation des informations médicales ou sociales, etc.)
• Maintenir une documentation assurant la traçabilité des mesures prises.

Modèle de registre au format prévu par le règlement proposé par la CNIL – à télécharger

3. Prioriser les actions à mener

Sur la base de votre registre, vous identifierez les actions à mener pour vous conformer aux obligations actuelles et à venir. Priorisez ces actions au regard des risques que font peser vos traitements sur les droits et les libertés des personnes concernées.
Vos clients doivent connaître le cadre juridique lié au traitement de leurs données (cela impliquera sans doute une révision de vos déclarations de confidentialité dans tous vos contrats avec vos sous-traitants).

4. Gérer les risques liés au traitement des données personnelles.

Si vous avez identifié des traitements de données personnelles susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes concernées, vous devrez mener, pour chacun de ces traitements, une analyse d’impact sur la protection des données (PIA).

Outils & bonnes pratiques pour mener une étude d’impact proposés par la CNIL – à découvrir

5. Organiser les processus internes

Pour assurer un haut niveau de protection des données personnelles en permanence, mettez en place des procédures internes qui garantissent la prise en compte de la protection des données à tout moment, en prenant en compte l’ensemble des événements qui peuvent survenir au cours de la vie d’un traitement (ex : faille de sécurité, gestion des demandes de rectification ou d’accès, modification des données collectées, changement de prestataire).

Points d’attention quels que soient vos traitements :

• Assurez-vous que seules les données strictement nécessaires à la poursuite de vos objectifs sont collectées et traitées.
• Identifiez la base juridique sur laquelle se fonde votre traitement (par exemple : opt-in, intérêt légitime, contrat, obligation légale)
• Révisez vos mentions d’information afin qu’elles soient conformes aux exigences du règlement
• Vérifiez que vos sous-traitants connaissent leurs nouvelles obligations et leurs responsabilités, assurez-vous de l’existence de clauses contractuelles rappelant les obligations du sous-traitant en matière de sécurité, de confidentialité et de protection des données personnelles traitées.
• Prévoyez les modalités d’exercice des droits des personnes concernées (droit d’accès, de rectification, droit à la portabilité, retrait du consentement…)

Vérifiez les mesures de sécurité mises en place.

• Gestion des accès – une saine gestion des identités et des accès inclut l’authentification, les accès à distance sécurisés, la sécurité adaptative/basée sur le risque, la gestion des mots de passe et le contrôle des identifiants des utilisateurs.
• Protection du périmètre – déployer des pares-feux de nouvelle génération (NGFW) pour réduire l’exposition du réseau aux cyber menaces, prévenir les risques de fuites et appliquer les mesures correctrices appropriées suite à une faille.
• Accès mobiles sécurisés – Les données concernées doivent pouvoir circuler en totale sécurité et les salariés doivent pouvoir accéder aux applications et aux données dont ils ont besoin, comme ils l’entendent, via les terminaux de leur choix.
• Sécurité des e-mails – prévenir les menaces de phishing et autres attaques par e-mail d’information protégée, tout en préservant l’échange sûr et conforme des données sensibles et confidentielles

6. Documenter la conformité

Pour prouver votre conformité au règlement, vous devez constituer et regrouper la documentation nécessaire. Les actions et documents réalisés à chaque étape doivent être réexaminés et actualisés régulièrement pour assurer une protection des données en continu.

Impact du RGPD sur vos pratiques RH

Dans la mesure où les données personnelles sont au cœur de la fonction RH, l’entrée en vigueur du RGPD impactera à coup sûr vos pratiques.

La nécessaire mise en conformité du traitement des données personnelles peut toutefois devenir une opportunité pour les ressources humaines dans la mesure où elle vous permet d’apporter un équilibre entre votre volonté de collecter de plus en plus de données et celle des employés de protéger leur vie privée.

Informer clairement tous les employés et obtenir leur consentement exprès.
Ce qui implique sans doute de revoir les clauses de vos contrats de travail pour répondre aux nouvelles exigences du RGPD ou de rédiger un document spécifique à faire signer par chaque travailleur.

Il vous faudra en effet communiquer le fondement légal du traitement des données et les délais de conservation, préciser les finalités, les motifs légitimes et l’existence éventuelle d’un transfert des données hors de l’Union européenne. Il faudra encore informer le travailleur de son droit d’accéder à ses données (dans les 30 jours), d’en obtenir copie (dans un format lisible et structuré), de son droit à la rectification ou à l’oubli (suppression des données) s’il ne souhaite plus que ses données soient traitées dès lors qu’aucun motif légitime ne le justifie encore. Il faudra encore l’informer de son droit d’introduire une plainte devant la CPVP ou de l’identité du délégué. Le tout devra prendre la forme d’une communication claire et compréhensible. Il faudra enfin que le travailleur donne son consentement explicite sur l’utilisation des données.  (source : Lex4u)

1. Protéger les données RH au sein de l’entreprise
   Identifier les données sensibles, vérifier la protection des données transmises, sécuriser les échanges de données avec les organismes externes. Autant d’aspects qu’il faudra vérifier et, le cas échéant, mettre en conformité.
2. Sensibiliser tous les travailleurs à la fuite de données et à la nécessité de sécuriser leur traitement.

Si les problèmes de « hacking » (piratage informatique) font les gros titres de la presse, la fuite de données peut prendre des formes beaucoup plus communes et moins spectaculaires : vol de l’ordinateur professionnel, envoi d’une pièce jointe contenant des données d’un autre client, etc. Vous devrez à présent notifier toute « data breach » (article 33 et 34) entrainant un risque de dommage (vol d’identité, violation d’une obligation de confidentialité …) pour la personne concernée à la CPVP.  (source : Lex4u)

Pour les entreprises internationales, choisir votre organisme de contrôle.

C’est le principe du guichet unique (article 56) et cela traduit une volonté de coopération renforcée entre les autorités de contrôle de l’U.E. Les entreprises multinationales pourront fonctionner avec une seule autorité de contrôle. Tant qu’à parler des entreprises internationales, le RGPT prévoit deux nouveaux outils pour les transferts de données hors de l’U.E. : la certification et le code de conduite. Cela vient compléter l’arsenal existant (Binding Corporate Rule, accord internationaux, etc.) (source : Lex4u)

Impact du RGPD sur votre marketing digital

De très nombreuses pratiques marketing reposent sur la notion de profilage, càd de collecte de données à caractère personnel dans le but de dresser le profil de vos prospects, clients ou utilisateurs afin de leur proposer des offres ou services personnalisés.

Le profilage à des fins de marketing est autorisé par le RGPD pour autant qu’il réponde aux conditions fixées par le RGPD, à savoir que la personne en soit informée et puisse s’y opposer.

Opt-in renforcé et gestion des cookies

• L’obligation d’information accrue de l’internaute implique qu’il puisse donner librement son consentement pour des traitements parfaitement identifiés (nature et finalité de la collecte doivent être précisés).
• Sauf exception, l’internaute doit donner son accord préalable pour le dépôt de cookies. Un bandeau d’information doit donc être présent sur tout site internet.

Transparence et information

La transparence est un concept clé du RGPD. Pour vous mettre en conformité, nous vous recommandons d’adapter dès aujourd’hui vos processus d’acquisition des données personnelles :

• Vérifier et nettoyer vos bases de données actuelles (quelles données stockez-vous, comment avez-vous obtenu ces données, sont-elles à jour, à quoi servent-elles, etc.). Beaucoup de PME ont plusieurs bases de données, pas ou peu entretenues, souvent sous-utilisées et tellement morcelées qu’elles ne savent plus d‘où proviennent les données. Il s’agit de nettoyer tout cela.
• Informer les personnes concernées qu’elles peuvent à tout moment accéder à leurs données personnelles, les faire supprimer ou transférer. Cela passe par la modification de vos CGV, contrats, disclaimers sur site, etc.
• Garantir la conformité de vos futures actions marketing. Préparer toute nouvelle action marketing en intégrant le respect des droits des personnes et la sécurité des données dès le départ.

Impact sur les sites e-commerce et plateformes commerciales

La transparence et la sécurisation des données à caractère personnelles est encore plus critique sur les sites e-commerce, bancaires et toutes plateformes de transaction en ligne. Cela se traduira à travers

• Une politique de confidentialité renforcée
• Une charte de gestion des cookies (avec bandeau d’information)
• Des mentions claires dans les formulaires

Le cybermarchand, en tant que responsable de traitement, devra ainsi veiller à s’assurer de la mise en conformité de l’ensemble de sa plateforme digitale et ce, dès le stade de la collecte des données (cookies, formulaires d’inscription, etc.). Actions de fidélisation, offres promotionnelles, transmission tarifée ou non de tout ou partie du fichier client à des partenaires, etc. Chacune de ces actions devra s’inscrire dans une « politique Data » respectueuse de la législation.

Le Règlement Européen introduit ici une nouvelle responsabilité lourde de sens et de conséquences pour l’ensemble des acteurs. (source : Guide Haas)

Textes de référence et guides pour approfondir la question

Texte complet du Règlement (UE) 2016/679

relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.

• Sur le site de l’Union Européenne
• Sommaire & texte complet sur le site de la CNIL

Un site très riche

• www.gdpr-expert.eu présente chaque article du règlement en précisant d’où on vient, où on va et quelles sont les difficultés probables.

Livres blancs, guides et documents pour se préparer

• Se préparer en 6 étapes – guide très complet de la CNIL, avec recommandations et outils
• RGPD – Préparez-vous en 13 étapes – guide de la CPVP (Commission de la Protection de la Vie Privée belge)
• GDPR – Par où commencer – Livre Blanc Deloitte – janvier 2017
• Le RGPD en 10 leçons – Guide pratique publié par Avistem Avocats – janvier 2017
• E-Marketing & Protection des données – Guide orienté e-marketing publié par Haas Avocats