RGPD, par où commencer ?

RGPD - Règlement Général sur la Protection des Données

Le Règlement Général sur la Protection des Données (RGPD)

Si vous êtes Européen et un minimum à l’écoute des médias, il y a de fortes chances que vous ayez déjà entendu parler du Règlement Général sur la Protection des Données, soit le RGPD. Si vous êtes dirigeant d’une PME, vous avez de fortes chances de ne pas être totalement en conformité avec ce règlement, en effet, 15 jours avant sa mise en vigueur (le 25 Mai 2018), plus de 80% des PME Françaises avouaient ne pas avoir entamé les actions nécessaires pour se conformer au RGPD.

Nos voisins Européens n’étaient guère mieux, à l’exception de l’Allemagne (le syndrome du premier de la classe !).

Quels sont les objectifs de la RGPD :

  • Uniformiser la protection effective des données dans toute l’Union Européenne
  • Responsabiliser les entreprises en développant l’auto-contrôle.
  • Renforcer le droit des personnes (droit à l’accès, à l’oubli, à la portabilité, etc.)

Les géants du net et du e-Commerce se sont entourés d’une armée d’avocats et d’informaticiens, ce n’est pas forcément le cas des PME, elles sont pourtant, comme toute entreprises soumises aux mêmes contraintes.

Il n’est jamais trop tard pour bien faire !

Le texte officiel est facilement consultable sur internet, notre démarche est de vous proposer une approche plus concise, pragmatique et adaptée aux PME.

N’hésitez pas à approfondir la lecture du site de la CNIL, il est très bien réalisé, vous y trouverez un maximum d’informations utiles et des formulaires pré formatés.

L’esprit : Jusqu’au 25 Mai, la CNIL distinguait 2 types de données, les classiques et les sensibles (Opinions politiques, religieuses, origines ethniques, santé …).

Il fallait faire une déclaration à la CNIL pour traiter ces données.

Dorénavant, plus de déclarations, chaque PME devient RESPONSABLE des traitements des données. Il incombe à chaque dirigeant de mettre en place les procédures nécessaires au respect de ce règlement.

En cas de non-respect du RGPD, l’amende est dissuasive … jusqu’à 20 millions d’euros ou 4% de leur chiffre d’affaire annuel (le montant le plus élevé sera retenu).

Une importante partie du travail à réaliser est juridique, en particulier si votre activité vous amène à traiter des données sensibles ou de nombreuses données personnelles.

Dans ce cas, nous ne saurions trop vous conseiller de vous rapprocher d’un cabinet d’avocat spécialisé. (Contacts à votre disposition …).

Dans le cas contraire, par où commencer ?

Tout d’abord, un conseil … comme à chaque nouveauté et changement d’envergure, qui peut potentiellement bouleverser une organisation (le bug de l’an 2000 !), nombre d’éditeurs, de constructeurs, de consultants en tout genre profitent de l’occasion pour proposer des solutions miracles, 100% RGPD ‘ready’ … profitant du manque d’informations, de la peur d’un hypothétique contrôle ou tout simplement de la crédulité du dirigeant d’entreprise.

Ces solutions n’existent pas, la mise en conformité avec le RGPD c’est avant tout la réalisation d’un ensemble de petites actions à mener, pour le moins à enclencher et dans de nombreux cas, l’infrastructure technique déjà en place permet de répondre à une grande partie des exigences techniques liées à l’application du RGPD.

I/ La nécessité de nommer un DPO (Digital Privacy Officer) :

Il est obligatoire de nommer un DPO si vous êtes un organisme public, si vous traitez des données sensibles ou si vous effectuez des traitements de données à grande échelle.

Dans le cas contraire, il est tout de même fortement conseillé de nommer un chef de projet RGPD au sein de votre entreprise, à lui de piloter le projet dans son ensemble et de veiller au respect des procédures.

Le responsable de traitement doit pouvoir prouver qu’il respecte bien toutes les obligations en matière de protection des données à caractère personnel et que toutes les mesures nécessaires ont été prises afin de protéger efficacement les données collectées. C’est la notion ‘accountability’ (rendre compte).

Ce référent doit idéalement veiller à sensibiliser l’ensemble du personnel au respect du RGPD : ne pas hésiter à mettre en en place d’une charte annexée au contrat de travail.

Enfin, il sera l’interlocuteur principal avec les autorités de contrôle.

II/ Qu’est-ce qu’une donnée personnelle :

Toute donnée pouvant être rattachée à un citoyen européen est considérée comme une donnée à caractère personnel.

Ces données sont présentes sur des documents de type : factures, fiches de paie, fiches client, dossiers médicaux, annuaires téléphoniques… que ces documents soient sous format papier ou sous format électronique.

III/ Identifier les données personnelles stockées dans l’entreprise :

Il faut lister l’ensemble des points de collecte de données personnelles :

Formulaires de saisie sur site web, inscription newsletter, création de compte, formulaire de contact etc.).

Il faut repérer l’ensemble des emplacements de stockage.

Il faut identifier les logiciels, solutions et autres prestataires à qui vous communiquez également ces informations (sous-traitants).

Enfin, réunir toutes ces informations sur un support, de type documentation technique ou rapport, qui vous sera utile en cas de problème et qu’il faudra maintenir à jour, c’est une cartographie des données.

Par extension cela doit vous amener à avoir une réflexion d’ensemble sur la gestion des données personnelles visant à limiter au strict nécessaire la collecte et le stockage de ces dernières.

C’est la notion de Privacy By Design ou Privacy By Default : le traitement des données doit être au centre de chaque nouveau projet.

La mise en place du RGPD sera probablement l’occasion de faire ‘un grand ménage’ dans le stockage de vos données.

IV/ Utilisation des données personnelles

Vos clients doivent IMPERATIVEMENT être informés de façon claire et intelligible de l’utilisation qui sera faite de leurs données.

Rien ne vous empêche de conserver ; c’est obligatoire dans certains cas ; des données pendant 5 ou 10 ans, mais il faut en informer vos clients.

La transparence dans le traitement de ces données doit être au centre de vos préoccupations.

Le RGPD impose une collecte licite, loyale et transparente.

Il faut pouvoir prouver que les personnes donnent leur consentement à l’exploitation de ces données et leur permettre de récupérer leurs données dans des formats structurés et exploitables.

Ceci implique aussi d’identifier les sous-traitants qui exploitent vos données, par exemple un CRM qui récupère les données de vos utilisateurs.

Vous devez être en mesure de prouver que vous vérifiez régulièrement la conformité de vos sous-traitants au RGPD (non divulgation des données à un tiers et sécurisation).

Quelques exemples :

  • Logiciel de comptabilité.
  • Solution CRM
  • Solution ERP
  • Solution de paiement en ligne
  • Plateforme d’emailing

Etc. …

V/ Renforcer la sécurité informatique

L’article 32 de la RGPD, la loi européenne sur la protection des données personnelles, impose au responsable du traitement et au sous-traitant de mettre en œuvre les mesures techniques pour garantir un niveau de sécurité adapté au risque.

Ceci peut inclure l’anonymisation, le chiffrement des données à caractère personnel et des moyens pour garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement.

Ceci inclus aussi un contrôle régulier des solutions déployées, leur mise à jour ou leur remise en question si nécessaire.

C’est sur ce périmètre que l’expertise d’Apo’g est précieuse.

Nous pouvons auditer votre réseau, vous conseiller et vous accompagner dans la mise en place des solutions indispensables à la sécurisation de vos données.

N’hésitez pas à consulter notre site et l’onglet dédié à cet effet.

VI/ Procédure en cas de corruption des données

La sécurité réseau n’est jamais garantie à 100%.

Nul système est infaillible, surtout depuis l’augmentation des cyberattaques via les Cryptolocker et/ou le Phishing.

Le règlement RGPD impose une volonté de moyens + que de résultats.

Il est en revanche indispensable de décrire précisément la procédure de déclaration à la CNIL sous 72 heures en cas de cyberattaque, corruption ou piratage de données.

Il faut donc PREPARER CETTE PROCEDURE A L’AVANCE :

  • Nature de la violation
  • Catégorie et Nombre de personnes concernées
  • Quelles mesures sont envisagées
  • Conséquences probables de données.
  • Informer chacune des personnes dans les meilleurs délais.

Et se connecter au site de la CNIL https://notifications.cnil.fr/notifications/index

N’hésitez pas à nous solliciter, nous vous accompagnerons dans la réalisation de votre mise en conformité.