Se mettre en conformité avec le RGPD, par quoi on commence ?

Le RGPD c’est le Règlement Général pour la Protection des Données.
C’est un règlement européen qui régule et protège les données à caractère personnel.
L’Europe fournit enfin à ses citoyens un droit s’appliquant à leur données personnelles.
Qu’est-ce qu’on entend par donnée à caractère personnel : c’est toute donnée qui permet d’identifier une personne. Et c’est très vaste.
On pense évidemment au nom, prénom, adresse. Mais aussi situation maritale, enfants, n° de sécu, adresse IP (oui, oui…)1
Règlement, ça veut dire que ça s’applique immédiatement sans transposition en droit national.
Et c’est pour mai 2018.

Il faut donc entamer son projet de mise en conformité sans tarder. La CNIL ne vous reprochera probablement pas de ne pas être à 100 % conforme mais sera certainement impitoyable pour ceux qui n’aurons rien fait.

Ce qu’il faut comprendre c’est que toutes les entreprises stockent ou traitent des données à caractère personnel, que ce soit les RH, vos clients ou des traitements que vous pourriez exécuter sur les données de vos clients pour leur compte.
Le concept clé à retenir c’est la notion de responsable de traitement et sous-traitant.
Si vous collectez, stockez ou effectuez un traitement sur les données stockée, vous êtes le responsable de traitement et vous devez identifier qui / l’utilité du traitement des données.
Si vous traitez des données pour le compte d’un client dans ce cas vous êtes sous-traitant pour le compte du responsable de traitement et vous êtes responsable de la sécurité des données que vous traitez.

Le cas du Data Privacy Officer

Nous verrons plus bas, dans quel contexte vous aurez l’obligation de désigner un DPO.

Accountability et Privacy by design and by default

Ce règlement institue la responsabilité des acteurs sur la question du traitement des données à caractère personnel
Les traitements doivent être conçus selon la règle du privacy by design et par défaut.
L’obligation de demander une autorisation à la CNIL disparaît pour être remplacée par le principe “d’accountability”. C’est-à-dire que c’est à vous de documenter votre conformité.
Cela implique de mettre en place les process et les documents qui démontrent votre conformité au RGPD.
Il y a une exception : si les traitements constituent un risque pour la vie privée des personnes — c’est-à-dire que le traitement concerne des données sensibles. Dans ce cas-là, il faudra demander une autorisation à la CNIL.

Cette documentation se fait sous la forme d’un registre des traitements qui détaille les données que vous collectez, les différents traitements que vous leur appliquez, leur durée de conservation, etc.
Ce registre doit être tenu à disposition de la CNIL à tout instant pour communication immédiate. Voilà pourquoi il faut être prêt.

Si votre traitement présente un risque élevé pour les droits et liberté — ça concerne en particulier les opérations de profilage, de retargeting, de surveillance systématique, et plus généralement le traitement à grande échelle de données sensible — vous devez faire une analyse d’impact (Privacy Impact Assessment – PIA)
Si le risque est avéré il faudra alors voir directement avec la CNIL

Pour tous les traitements à risque, le responsable de traitement devra conduire une étude d’impact complète, faisant apparaître les caractéristiques du traitement, les risques et les mesures adoptées. Concrètement, il s’agit notamment des traitements de données sensibles (données qui révèlent l’origine raciale ou ethnique, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale, les données concernant la santé ou l’orientation sexuelle, mais aussi, fait nouveau, les données génétiques ou biométriques), et de traitements reposant sur “l’évaluation systématique et approfondie d’aspects personnels des personnes physiques”, c’est-à-dire notamment de profilage.

En cas de risque élevé, il devra consulter l’autorité de protection des données avant de mettre en œuvre ce traitement. Les «  CNIL » pourront s’opposer au traitement à la lumière de ses caractéristiques et conséquences.

Toute la question est de savoir ce que recouvrent les termes de “grande échelle”. Ça dépend du nombre de personnes concernées par rapport à une population donnée. Si toute la population est concernée, c’est considéré comme “grande échelle” même si ça ne concerne que quelques dizaines de personnes.

DPO

Si vous êtes dans ce cas de figure, vous devrez certainement désigner un Data Privacy Officer. Si vous aviez déjà un Correspondant Informatique et Liberté, il pourra tenir ce rôle, mais dans les faits ce n’est pas systématique.
Le DPO doit informer et conseiller, il contrôle la conformité à la GDPR, il supervise les actions pour être conforme.
Il doit être indépendant.
C’est le point de contact avec les autorités et les personnes “fichées”.
C’est un poste qui peut être pourvu en interne ou confié à un prestataire externe. Attention alors au conflit d’intérêt s’il est aussi DPO de votre sous-traitant.

Les responsables de traitement et les sous-traitants devront obligatoirement désigner un délégué :
- s’ils appartiennent au secteur public,
- si leurs activités principales les amène à réaliser un suivi régulier et systématique des personnes à grande échelle,
- si leurs activités principales les amène à traiter (toujours à grande échelle) des données dites “sensibles” ou relatives à des condamnations pénales et infractions.

Obligation de la sécurité du traitement

Si vous n’avez pas été en mesure d’empêcher la compromission des données vous devez notifier les propriétaires de ses données dans les 72h.

Lorsqu’il constate une violation de données à caractère personnel, le responsable de traitement doit notifier à l’autorité de protection des données la violation dans les 72 heures. L’information des personnes concernées est requise si cette violation est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne.”

Vous devez évaluer les mesures à mettre en place en fonction du contexte (état des connaissances par rapport au coût)
Est-ce que la pseudonymisation (il est toujours possible de retrouver 1 personne à partir des données pseudonymisée) est suffisante ou il faut anonymiser (c’est irréversible) ?

Transfert hors Union Européenne

Dans de nombreux cas, votre sous-traitant sera situé hors EU.
Vous devez vous assurer que le pays de destination offre un niveau de protection adéquat.
La commission européenne a recensé un certains nombre de pays où la protection est adéquate : Suisse, Canada, Israël… Et a pris une décision d’adéquation
Dans les autres pays, vous devez vous assurer de la protection adéquate. Dans le cas des États-Unis, la commission ayant retoqué la précédente disposition — Safe Harbour — actuellement les entreprises peuvent souscrire au Privacy Shield. Qui semble pour l’instant constituer une protection adéquate. Mais rien ne garanti qu’à l’avenir ça sera encore le cas
D’autres mécanismes sont possibles comme les Binding Corporate Rules.

Enfin, notons que les prestataires dont l’activité sera soumise au RGPD ne pourront se prévaloir de leur adhésion au Privacy Shield pour démontrer leur conformité au règlement européen. source CNIL

Le droit existant des personnes est renforcé

Vous devez vous assurer du consentement positif des personnes à ce que leur données soient traitées.
La charge de la preuve en est au responsable de traitement. Ce qui entraîne la question : comment stocke-t-on et conserve-t-on cette preuve ?
L’information pour recueillir le consentement doit être claire, précise, accessible et intelligible.
Le règlement insiste sur l’élimination du jargon juridique et sur le fait d’utiliser un langage compréhensible par tout le monde.
Le droit d’accès aux données se fait aux frais du Data Privacy Officer.
Les personnes doivent pouvoir faire leur demande en ligne et vous avez 1 mois pour leur répondre.
C’est à vous de vous assurer de l’identité de la personne.
Au cas où vous ne pourriez accéder à cette demande dans les délais impartis, vous devez répondre en précisant les raisons pour lesquelles vous n’avez pas la possibilité de fournir ces données dans les temps, et vous disposez d’un délai supplémentaire de 2 mois.

Droit d’opposition

Ce qui revient dans les fait à ce qu’une personne dont vous détenez les données puisse dire :
“OK, vous avez mes données, mais je m’oppose à ce qu’il y ait un traitement dessus”
Ce qui est une nécessité en cas d’archivage.

Les mentions d’informations obligatoires répondent au principe de transparence.

Nouveaux droits

Droit à l’oubli.

Avec une limitation : cela ne peut pas empêcher les obligations de l’entreprise qui doit effectuer le traitement.

Droit à la limitation du traitement

De la même façon une personne peut réclamer l’arrêt du traitement sur ses données détenues par une entreprise.

Droit à la portabilité des données.

Ça c’est une grande avancée.
Car le règlement prévoit un export dans un format exploitable par les machines.
On peut envisager le cas d’une assurance où vous demandez un export de vos donnée que vous fourniriez au nouvel assureur sans devoir refaire toute la paperasse.

Sanctions en cas de non-conformité

Selon la catégorie de l’infraction, de 10 à 20 M€, ou, dans le cas d’un groupe international, de 2 à 4 % du chiffre d’affaires annuel mondial.
Mais pas de panique non plus. Le RGPD prévoit une progressivité des sanctions.
En premier lieu un avertissement, suivi par une interdiction de collecte, puis interdiction de traitement puis sanction financière.
Les CNIL ont précisé que les sanctions seront adaptées à la taille des entreprises.

Concrètement, comment on met ça en place ?

5 étapes :

  1. Recenser ses traitements : quelle data, pour quelle finalité, adéquation avec la finalité du traitement, durée de conservation, analyse des risques
  2. Établir son registre – La CNIL en propose un très bien
  3. Se mettre en conformité. Les outils d’aide de la CNIL
  4. Déployer les outils : mentions d’information, contrat de sous-traitant.
  5. Enfin, au regard des étapes précédentes, vous évaluerez si un DPO est nécessaire.

1 Définition de la CNIL pour les données sensibles,
Information concernant l’origine raciale ou ethnique, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale, la santé ou la vie sexuelle. En principe, les données sensibles ne peuvent être recueillies et exploitées qu’avec le consentement explicite des personnes.