Recherche

DossierRGPD: tout savoir sur le règlement européen qui chamboule vos traitements de données

25 mai 2018: passé cette date, les entreprises devront être en conformité avec le règlement européen de protection des données personnelles. Mais que dit concrètement ce RGPD dont toute la presse parle? Voici un dossier complet pour comprendre les enjeux et les actions à mettre en oeuvre. [MAJ 21/05]

Publié par Bénédicte Gouttebroze le
Lecture
65 min
  • Imprimer
RGPD: tout savoir sur le règlement européen qui chamboule vos traitements de données

Sommaire

1 Quelles sont les entreprises concernées par le RGPD?

Le RGPD s'applique "au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu'au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier." Ce règlement s'applique à toute structure (qu'elle soit responsable de traitement des données ou sous-traitant)

  • ayant un établissement dans l'Union européenne
  • ou bien proposant une offre de biens ou de services visant les personnes qui se trouvent sur le territoire de l'Union européenne. Les actions de profilage visant cette cible sont également concernées.

Ainsi, il n'y a pas de critère de taille d'entreprise, de lieu de stockage des données ou encore de secteur d'activité: toute entreprise qui cible le territoire européen et effectue des traitements de données à caractère personnel est concernée par ce règlement.

Alors que la loi Informatique et libertés se basait sur des critères d'établissement et de moyens de traitement, le règlement européen 16-679 introduit la notion de ciblage: le critère principal d'application est désormais le traitement des données d'une personne se trouvant au sein de l'UE.

2 Et pour les PME?

Si le respect du RGPD est obligatoire quelle que soit la taille de l'entreprise, le texte prévoit cependant un allégement des obligations pour les structures de moins de 250 salariés. Ainsi, la tenue d'un registre des activités de traitement n'est pas obligatoire pour "une entreprise ou à une organisation comptant moins de 250 employés, sauf si le traitement qu'elles effectuent est susceptible de comporter un risque pour les droits et des libertés des personnes concernées, s'il n'est pas occasionnel ou s'il porte notamment sur les catégories particulières de données visées à l'article 9, paragraphe 1, ou sur des données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l'article 10." Vous pouvez consulter sur ce point la tribune "RGPD: quelles actions les PME doivent mener pour être conformes?".

Vous traitez de grandes quantités de données personnelles dans le cadre de votre activité? Alors vous êtes (plus que) probablement concerné par le RGPD. Découvrez précisément qui sont les sociétés qui doivent se préoccuper de ce nouveau règlement.

3 Quelles sont les données visées par le RGPD?

L'une des difficultés posées par le RGPD va consister à définir les données personnelles concernées.

Le règlement stipule qu'il s'agit de "toute information concernant une personne physique identifiée ou identifiable", directement ou indirectement. Des données indirectement identifiantes, telles qu'un numéro de téléphone, ou un identifiant, sont donc concernées. De même, les données comportementales collectées sur Internet (notamment recueillies dans le cadre d'actions marketing de profilage et utilisées au sein d'une DMP), si elles sont corrélées à une identité, deviennent des données à caractère personnel.

Selon le traitement appliqué aux données, des informations non identifiantes peuvent ainsi devenir identifiantes, par croisement des informations collectées.

À noter, le RGPD prévoit des exceptions selon les traitements concernés, notamment au niveau des traitements de données RH (recrutement, contrat de travail...), pour lesquels les États membres peuvent prévoir "des règles plus spécifiques pour assurer la protection des droits et libertés" (article 88).

Définition du "traitement" selon le RGPD: "Toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction."

De prime à bord, définir ce qu'est une donnée personnelle semble plutôt simple. Pourtant, selon le traitement adopté, certaines données comportementales peuvent revêtir un caractère personnel. Quelques précisions, donc, sur les données visées par le RGPD.

4 Les obligations des entreprises en matière de traitement des données personnelles

La loi Informatique et libertés se basait sur du déclaratif initial et des contrôles ponctuels. Le nouveau règlement européen remplace cette obligation de déclaration par une obligation de prouver à chaque moment que l'entreprise protège les données.

Pour être en conformité avec le RGPD, les entreprises doivent respecter dans leurs traitements les grands principes de la dataprotection, dont beaucoup étaient déjà présents dans la loi Informatique et libertés. Le RGPD vient renforcer les droits des personnes dont les données personnelles sont collectées.

5 Les 8 grands axes de la protection des données

Le cabinet Staub & Associés a identifié 8 grands principes de la dataprotection, qui sous-tendent le RGPD. Voici une présentation synthétique de ces derniers.

  • Principe de loyauté: tout traitement de données personnelles doit être légal et transparent aux yeux de la personne concernée, ce qui signifie pour l'entreprise une obligation d'information renforcée: la personne concernée doit recevoir une information poussée sur les données collectées, qui précisera chacune des finalités poursuivies par la collecte, ainsi que les droits dont dispose la personne sur ses données. Le consentement express aux traitements de ses données doit être recueilli.
  • Principe de proportionnalité: une donnée personnelle ne peut être collectée que pour une finalité précise, expresse et légale. La donnée ne peut donc pas être collectée "par défaut", elle doit être pertinente par rapport à la finalité envisagée. Si des données personnelles sont collectées de manière superflue, il y a manquement au principe de proportionnalité. D'où la nécessité de définir précisément la finalité de la collecte.
  • Principe de minimisation: seules les données strictement nécessaires à la finalité poursuivie pourront être collectées. Dès lors, il est nécessaire de supprimer les données non pertinentes. Une obligation à prendre en compte avant la mise en place des outils de traitement!
  • Principe de réactivité: les données personnelles conservées doivent être exactes, précises et actuelles. Ce qui nécessite donc de les tenir à jour. Par ailleurs, le responsable du traitement des données est tenu d'informer les personnes concernées en cas de violation de leurs données personnelles (art. 34 du RGPD).
  • Principe de sécurité: le respect de la confidentialité des données personnelles doit se traduire par ma mise en place de dispositifs et procédures de sécurité, tant du côté du responsable du traitement que de ses sous-traitants. Ce qui nécessite de faire travailler ensemble les services juridiques et techniques. La démarche de privacy by design (voir ci-dessous) introduite par le RGPD rend cette obligation de sécurité structurelle.
  • Principe de conservation limitée: le règlement interdit de conserver indéfiniment les données personnelles. La durée de conservation choisie doit être justifiée par la finalité du traitement. Les données qui ne sont plus utilisées doivent donc être supprimées.
  • Principe d'information: les personnes dont les données personnelles ont été collectées disposent de droits spécifiques: accès à l'information, rectification, effacement, portabilité... Elles peuvent les faire valoir à tout moment.
  • Principe de territorialité: si l'entreprise envisage de faire sortir en dehors de l'espace européen les données personnelles de personnes résidant en Europe, des précautions complémentaires sont nécessaires. Elle devra notamment solliciter le consentement des personnes concernées. Par ailleurs, il sera nécessaire de créer un hub technicojuridique assurant aux données le même niveau de protection qu'en Europe.

6 4 nouveautés introduites par le RGPD

Le règlement européen de protection des données personnelles introduit plusieurs principes totalement nouveaux dans la gestion des données. En voici une brève présentation.

  • Principe de coresponsabilité: désormais, ce n'est pas le seul "responsable du traitement" qui est juridiquement responsable des données. Les sous-traitants et prestataires de l'entreprise peuvent également assumer une responsabilité directe. Le responsable du traitement doit s'assurer de la conformité de ses fournisseurs, et les responsabilités sont distribuées en fonction de la mainmise de chacun sur les données.
  • La démarche de privacy by design: les données personnelles devront être identifiées directement en tant que telles dans le système afin de limiter leur accès. C'est donc dès la conception intellectuelle et technique des traitements que cette notion doit être intégrée. Le privacy by design doit donc être traduit en dur dans le code source des outils utilisés par l'entreprise.
  • La démarche de security by default: par défaut, les données doivent être discriminées pour n'utiliser que celles qui sont strictement nécessaires à la finalité poursuivie. Ainsi, les outils doivent être conçus de façon à discriminer les données selon les traitements et habilitations, pour répondre à cette obligation.
  • La démarche d'accountability: le responsable du traitement doit disposer de registres décrivant tous les traitements appliqués aux données, afin de pouvoir démontrer à tout moment que la protection des données personnelles au sein de sa structure est optimale.

Le RGPD renforce certaines obligations déjà existantes en matière de protection des données personnelles, et en crée de nouvelles. Voici un aperçu des grands principes abordés par le règlement, et de leurs implications pour les organisations qui doivent se mettre en conformité.

7 Le DPO, un nouvel acteur au sein de l'entreprise

La désignation d'un délégué à la protection des données, qui sera le garant de la conformité au règlement, est obligatoire dans certains cas:

  • lorsque le traitement des données est effectué par une institution publique
  • si les activités de base de l'organisme consistent en des traitements qui imposent un suivi régulier et systématique à grande échelle des personnes concernées (par exemple pour les ciblages marketing ou la lutte contre la fraude)
  • si les activités de base de l'organisme consistent en des traitement à grande échelle de données sensibles ou de données relatives aux condamnations et infractions spéciales (par exemple des infractions pénales dans le cadre de la lutte contre les incivilités en banque).

Le DPO doit avoir une certaine neutralité et être en contact direct avec le Comex pour remonter les problématiques rapidement. À noter, le RGPD autorise la mutualisation du DPO pour des groupes d'entreprises. Les petites structures pourront aussi faire appel à un prestataire externe, à condition que ce délégué soit "facilement joignable à partir de chaque lieu d'établissement" (article 37.5 du RGPD).

Pour rappel, même si une entreprise n'est pas concernée par l'obligation de désigner un DPO, elle devra tout de même pouvoir justifier à tout moment du strict respect du RGPD dans sa gestion des données.

8 Sa formation

Il existe un certain nombre de formations diplômantes, parmi lesquelles:

- Le Mastère "Management et protection des données à caractère personnel" de l'Isep

- La formation "Administration de bases de données", dispensée par le Cnam

- Le Mastère "Sécurité de l'information et des systèmes" de l'ESIEA

- Le diplôme universitaire "DPO/CIL", de l'Université de Franche-Comté

- Le diplôme "Correspondant informatique et libertés", de l'Université de paris-Nanterre

9 Sa rémunération

Le métier étant récent en France, il est difficile de donner une grille de rémunération. Toutefois, selon l'Association française des correspondants aux données personnelles (AFCDP), les DPO gagnent, en moyenne, entre 2500 euros et 4000 euros bruts par mois.

Les missions du DPO

Le délégué à la protection des données (DPO) est le "monsieur données personnelles" dont chaque entreprise devra se doter, en interne au-delà d'une certaine dimension. Comme le régime déclaratif de la loi de 1978 et de la Directive de 1995 va disparaître, le DPO devient le garant interne de la conformité de l'entreprise à la réglementation. Il est important de s'interroger rapidement sur le profil qui doit être le sien (à la fois juriste mais aussi technicien pour comprendre les traitements et exiger la sécurité).

Son travail sera notamment d'inscrire sur son registre l'ensemble des traitements de données personnelles mis en oeuvre dans l'entreprise, les procédures de sécurité et la mise en oeuvre des notifications de failles de sécurité par exemple. Il devra être en contact direct avec la direction générale et avoir son oreille. Son recrutement peut se faire en parallèle des travaux juridiques initiaux et des analyses de risques techniques à mener pour cartographier l'existant au sein de l'entreprise, identifier les réformes à mener et donner corps à celles-ci.

Pour aller plus loin sur la question du délégué à la protection des données, consultez notre dossier "RGPD: tout savoir sur le DPO, délégué à la protection des données"

À lire aussi: "RGPD: le DPO, un mouton à 5 pattes?"

Le RGPD prévoit la création du poste de DPO (délégué à la protection des données) dans certaines structures. Dans quels cas est-il obligatoire? Ce poste doit-il forcément être internalisé? Le point sur le sujet.

10 Les sanctions encourues en cas de non-respect du RGPD

Les entreprises ont jusqu'au 25 mai 2018 pour se mettre en conformité avec le RGPD, qui est entré officiellement en vigueur le 24 mai 2016. Passé cette date, les autorités pourront sanctionner les entreprises qui ne respecteront pas le règlement.

La Cnil précise que les sanctions seront encadrées, graduées et renforcées par rapport à la loi Informatique et libertés. Ainsi les autorités de protection pourront tout d'abord prononcer un avertissement, puis mettre en demeure l'entreprise de se mettre en conformité. La suspension des flux de données hors UE peut également être exigée, ainsi que la limitation temporaire ou définitive d'un traitement. Une sanction qui peut être très pénalisante pour une structure dont l'activité est principalement basée sur les traitements de données!

11 De fortes amendes possibles

Enfin, les autorités peuvent prononcer d'importantes amendes administratives: selon la catégorie de l'infraction, de 10 à 20 M€, ou, dans le cas d'une entreprise, de 2 à 4% du chiffre d'affaires annuel mondial (art. 83 du RGPD).

Les sanctions prévues par le RGPD comportent d'importantes amendes administratives: jusqu'à 4% du chiffre d'affaires annuel mondial. De quoi faire réfléchir les retardataires!

12 Retroplanning: 5 étapes pour être en conformité d'ici mai 2018

Nota bene: la construction de la trajectoire de mise en conformité dépendra évidemment du degré de maturité et de l'exposition de chaque organisation. Aussi, il sera judicieux de commencer par réaliser un état des lieux, et de dessiner la feuille de route correspondante qui recensera les chantiers prioritaires, en termes d'organisation, de processus de traitement et de process liés aux droits des personnes.

Ici, dans l'optique de parler au plus grand nombre, nous avons construit un chronogramme en partant d'un degré de maturité faible.

13 Étape 1 - Durée: 1 mois - Structurer le projet, nommer les acteurs-clés, définir les jalons

Au plus vite, il s'agira de structurer la mise en conformité. L'organisation devra désigner un coordinateur (le délégué à la protection des données) et devra allouer au projet les moyens humains et financiers nécessaires pour en assurer la réussite.

Le coordinateur définira les acteurs-clés (responsable juridique, responsable SI, responsable métiers - direction commerciale et marketing etc.) et attribuera les responsabilités de chacun. Les principaux jalons devront être fixés et les ateliers des étapes 2 et 3 planifiés.

14 Étape 2 - Durée: 3 mois - Cartographier les traitements de données personnelles, analyser la conformité de ces traitements et les risques associés

La tenue d'un registre des traitements mis en oeuvre dans l'entreprise est une des clés de voute du Règlement. Afin d'élaborer ce registre, les acteurs devront lister pour chaque traitement de données personnelles:

  • la finalité du traitement (les objectifs poursuivis);
  • la nature des données traitées;
  • les acteurs internes et externes qui traitent ces données;
  • la localisation de ces données;
  • les flux amont et aval (l'origine et la destination);
  • les temps de conservation;
  • le volume.

Pour apprécier la criticité de ces traitements, on se posera entre autres deux questions:

  • Les données récoltées nécessitent-elles une vigilance accrue au regard du règlement (exemples: données de santé, de données biométriques, d'opinions politiques, données traitées de façon systématique aboutissant au profilage etc.)?
  • Les données récoltées sont-elles strictement nécessaires à la poursuite des objectifs (principe de minimisation)?

Une fois les traitements à risque identifiés, il s'agira d'évaluer si les dispositifs de maîtrise de ces risques sont appropriés. On recensera les mesures de sécurité mises en place pour protéger notamment la confidentialité et l'intégrité des données, mais également les dispositions existantes pour respecter les exigences du Règlement relatives aux droits et libertés des personnes concernées.

15 Étape 3 - Durée: 3 mois - Évaluer le niveau de conformité de vos processus internes

Il conviendra ensuite de définir finement les actions à entreprendre sur 5 grands volets.

  • Le Règlement renforce le droit à l'information et le consentement des personnes. Les modalités d'information et de collecte des données personnelles devront être revues en ce sens.
  • Le RGPD crée également de nouveaux droits (droit à la portabilité, à la limitation, à l'oubli), qui viennent s'ajouter à plusieurs droits préexistants (droits d'accès, d'opposition, de rectification). Les process de traitement doivent être mis à jour pour que les personnes puissent exercer correctement leurs droits.
  • En outre, les process de gestion de crise devront être ajustés pour anticiper les violations de données (data breach).
  • Le principe de "privacy by design" devra être incorporé aux procédures de gouvernance projet, i.e. définir les besoins et mesures de protection des données dès la phase de conception d'un nouvel outil ou d'une nouvelle application.
  • Enfin, l'entreprise devra articuler ses actions de sensibilisation à travers un plan de formation.

16 Étape 4 - Durée: 4 mois - Déployer les plans de remédiations définis lors des étapes 2 et 3

En parallèle de la modification des processus internes, le renforcement des mesures de sécurité pourra conduire à une réflexion quant à la mise en place d'outils technologiques, que ce soit dans le cadre de l'identification des données sensibles, de la protection des données à travers des outils de chiffrement, de pseudonymisation, d'anonymisation, ou de la détection de data breach.

17 Étape 5 - Durée: 3 mois - Valider la conformité de l'organisation vis-à-vis du Règlement

Au début du mois de mars 2018, il sera judicieux de rebalayer l'ensemble des exigences du RGPD et de recenser les écarts potentiels entre celles-ci et les procédures et mesures effectivement en place.

Les deux mois précédant la date butoir pourront être consacrés au déploiement des correctifs additionnels éventuels.

L'auteur

Romain Maillard, senior manager BDO

Romain Maillard est senior manager au sein du département de BDO France dédié aux activités de conseil. Depuis 2009, il accompagne ses clients dans leur projet de cartographie des risques, dans l'évaluation de leurs procédures de contrôle interne, et intervient sur de nombreux sujets liés à la compliance. Romain apporte également son expertise dans le cadre de la structuration de dispositifs de lutte anti-fraude et conduit des missions d'investigations en exploitant les données comptables et financières. Romain est Certified Fraud Examiner et diplômé de Neoma (ESC Rouen).

La mise en conformité avec le RGPD nécessite d'organiser un véritable "big bang" de la data au sein de son organisation, qui impactera tous les services touchant aux données personnelles. Romain Maillard, senior manager BDO, dresse les étapes et le timing les plus pertinents pour les PME et ETI.

18 [Avis d'expert] "Mai 2018 arrivera très vite et il n'y aura pas de délai supplémentaire"

> Sachant que le RGPD impacte l'entreprise à différents niveaux (juridique, technique, opérationnel...), comment orchestrer la mise en conformité de son entreprise d'ici mai 2018?

La mise en conformité de l'entreprise, a fortiori du groupe d'entreprise, constitue un véritable projet auquel doivent participer la plupart des services de l'entreprise, car ils manipulent tous, à des degrés divers, des données personnelles. Le service marketing qui permet la prospection, le service client qui gère l'ensemble des contrats et donc des contacts chez les clients, le service achats en relation avec les fournisseurs, la DSI qui conçoit les systèmes ou implémente la sécurité, la DRH qui traite les données des salariés, doivent tous être sensibilisés, ainsi que le département R&D pour les entreprises qui éditent ou intègrent des technologies numériques, car le RGPD doit être intégré à l'ADN de ces produits dès leur conception.

Il s'agit d'une démarche de "recâblage" complet de l'entreprise

Il s'agit d'une démarche de "recâblage" complet de l'entreprise, qui doit se doter de processus, de réflexes et de modalités de contrôle pour que la conformité au RGPD soit effective et de chaque instant. C'est donc clairement un projet qui doit être impulsé au plus haut (DG et Daf), et qui doit être anticipé le plus possible compte tenu de sa complexité et de sa portée sur le marché.

Au vu des impératifs de production propres à chaque entreprise, du nombre de sujets à traiter, de l'évangélisation à mener au sein des groupes, et des enjeux associés (image de marque de l'entreprise, compliance, mais aussi risques de condamnation à des sanctions financières particulièrement significatives), il semble impératif de se lancer dans ce projet sans attendre. Mai 2018 arrivera très vite et il n'y aura pas de délai supplémentaire. Les entreprises qui seront conformes à cette date bénéficieront à la fois d'une sécurité juridique et d'une avance concurrentielle qu'elles pourront mettre en avant auprès de leurs clients.

> Les démarches de privacy by design et de security by default impliquent une modification profonde des outils de collecte de données utilisés par les entreprises. Quelles démarches entreprendre auprès de ses éditeurs de logiciels?

L'entreprise doit dès à présent interroger ses fournisseurs, qu'il s'agisse des éditeurs logiciels, des éditeurs de SaaS et autres services cloud, et des ESN qui interviennent en son sein pour déployer qui un ERP, qui un CRM, qui un système de communications unifiées, afin de connaître leur niveau d'expertise et de conformité au RGPD. Mais on ne doit pas s'illusionner: ces ESN ne sont pas encore toutes conformes, et elles-mêmes doivent investir un temps et une énergie considérable pour actualiser leurs organisations et leurs produits. Et l'entreprise cliente elle-même ne peut se contenter de s'en remettre aux travaux de son fournisseur (éditeur ou ESN) car elle-même doit adopter des processus et des règles internes de protection des données personnelles, indépendamment des produits acquis.

Les parties doivent dialoguer et ne pas s'en tenir à des clauses monolithiques dans les contrats

Ce recâblage va en effet impacter les modes d'utilisation par le personnel des outils qui leur sont confiés, et modifier les règles de confidentialité des données au sein de l'entreprise. À l'instar de la coresponsabilité voulue par le RGPD entre "responsables de traitements" et "prestataires sous-traitants", une "coresponsabilité" doit advenir et implique donc une réflexion conjointe des parties dans les contrats, et une démarche de mise en conformité progressive. Car au-delà de cette coresponsabilité, le primat du client qui décide de la nature et de la finalité de ses traitements, et le conseil dû par le professionnel, restent de leurs responsabilités respectives. Les parties doivent donc abondamment dialoguer et ne pas s'en tenir à des clauses monolithiques dans les contrats, qui pour l'heure ne rendraient compte qu'imparfaitement de la réalité de la protection des données personnelles.

> Qu'en est-il des données personnelles collectées avant l'entrée en vigueur du RGPD?

Elles devront clairement être traitées à l'avenir conformément aux nouvelles exigences du RGPD. C'est notamment pour cela que le Règlement a accordé un délai de 2 ans à tous les acteurs du marché pour se mettre en conformité: demain, toutes les données personnelles traitées dans l'entreprise devront bénéficier des règles du privacy by design, du security by default, et toutes les personnes physiques concernées (prospects, clients, fournisseurs, salariés...) devront bénéficier des nouveaux droits mis en place.

Il faudra donc prévoir des vagues de régularisations à déployer auprès des populations concernées, afin de préciser l'information qui leur est due, et de collecter des consentements complémentaires, notamment dans le cadre des traitements big data et onboarding qui se déploient en big bang actuellement sur le marché, y compris au sein des industries les plus sensibles à la sécurité de la data (banques, santé, telcos...).

L'auteur

Me Sylvain Staub est avocat associé au sein de Staub & Associés. Créé en 2004, le cabinet intervient en conseil et contentieux, pour les grands acteurs du marché de l'informatique, les pure players internet et les agences de communication... mais aussi pour de très nombreuses entreprises utilisatrices de ces technologies, PME et grands comptes, dans le cadre de leurs projets SI et de leur transformation digitale.

Depuis 2004, Staub & Associés est résolument dédié au droit de l'immatériel: droit des technologies de l'information, données personnelles, média numériques, réseaux, créations incorporelles.

Les avocats de Staub & Associés, issus de grands cabinets ou de grandes entreprises, sont notamment aguerris aux problématiques du RGDP, du cloud computing, des incidences de l'IoT, des projets blockchain, du licencing et de l'e-reputation.

Interview réalisée en février 2017

Quel sera l'impact de la mise en conformité avec le RGPD pour les entreprises? Quelles démarches entreprendre auprès de vos éditeurs de logiciels de traitements de données? Quid des données collectées avant son entrée en vigueur? Me Sylvain Staub, du cabinet Staub & Associés, apporte son éclairage.

19 [Cas pratique] Les services achats face au RGPD

> L'entrée en vigueur du RGPD implique une actualisation des contrats fournisseurs. Faut-il mener un audit sur tous les contrats passés avec les fournisseurs? Quels sont les fournisseurs qui seront les plus impactés?

Il faut sans attendre commencer à interroger les fournisseurs sur les modalités de leur mise en conformité au RGDP, à l'horizon 2018 au plus tard. Cela signifie qu'en parallèle des réformes à mener au sein de l'entreprise ou du groupe (la question des flux transfrontaliers de données demeure cruciale et toujours aussi complexe compte tenu du nombre de prestataires nord-américains en charge des services numériques utilisés par les entreprises européennes), il faut solliciter l'information et le conseil dus par les professionnels au sujet de leurs produits et services numériques et de leur connaissance des pratiques et besoins de l'entreprise cliente.

La question des flux transfrontaliers de données demeure cruciale et toujours aussi complexe

La conformité au RGDP est un travail de concertation: il implique d'interroger les juristes experts de la question en amont, d'engager les analyses d'impacts exigées par le règlement, de solliciter les experts de la sécurité informatique qui indiqueront comment réorganiser les processus et se conformer aux normes de sécurité, et interroger les éditeurs logiciels ou clouds sur les changements qui seront déployés sur leurs technologies dans les mois à venir.

Ce travail sera itératif, car l'on va se référer aux normes de sécurité d'une part, qui sont par nature évolutives, et aux travaux juridiques de la CNIL et du Groupe art. 29 d'autre part, qui va peu à peu élaborer des règles de droit dérivé (clauses contractuelles types, certifications, normes "simplifiées" actualisées). L'ensemble du marché doit dialoguer pour que le niveau monte progressivement jusqu'à atteindre les exigences du RGDP.

> Qu'est-ce que le RGPD va changer pour les entreprises travaillant avec des sous-traitants implantés hors UE?

Le niveau de protection européen est renforcé

Pas grand-chose sur le plan des principes, les données personnelles des Européens ne peuvent pas être traitées hors UE à moins de bénéficier d'une des exceptions qui figuraient déjà dans la Directive de 1995: soit le pays d'accueil propose un niveau de protection légale équivalent (les cartes seront rebattues puisque le niveau de protection européen est renforcé), soit l'entreprise source signe avec le sous-traitant récepteur des clauses contractuelles types (qui elles aussi vont manifestement évoluer pour prendre en compte les nouveaux droits créés au bénéfice des personnes physiques), soit le groupe d'entreprises adopte des "binding corporate rules"qui devront donner force aux nouveaux principes et concepts du RGDP. C'est donc dans le détail de ces modalités d'encadrement des flux transfrontaliers de données que les nouveautés du RGDP devront être actualisées.

> Les gestionnaires de flottes ont de plus en plus recours à la géolocalisation des véhicules. Quelles précautions devront-ils prendre avec les données ainsi collectées pour ne pas être en infraction avec le RGPD?

La géolocalisation n'est qu'un traitement comme un autre. La localisation d'un véhicule géolocalise également son conducteur, et sauf exceptions il s'agira donc là d'un traitement de données personnelles qui devra être encadré, protégé et faire l'objet de limites.

Les dispositifs de géolocalisation devront donc répondre aux impératifs classiques de sécurité et de proportionnalité, mais ils devront également être remaniés pour intégrer de manière structurelle la privacy by design et le security by default. Il en va en fait ainsi de tous les traitements numériques déployés dans nos sociétés interconnectées: géolocalisation, vidéosurveillance, internet des objets, profilage marketing, surveillance aux fins de sécurité publique, exploitation des datalakes, etc.

Interview réalisée en février 2017

Quel impact sur les contrats fournisseurs?

Pour se mettre en conformité avec le RGPD, les directeurs achats devront veiller à renforcer les contrats passés avec leurs fournisseurs. Le cabinet Staub & Associés recommande notamment de stipuler désormais:

  • Les finalités précises du traitement
  • L'objet et la durée de conservation des données personnelles
  • La typologie des données collectées et des personnes concernées
  • Les droits du sous-traitant et les obligations du responsable de traitement
  • Les engagements du sous-traitants en matière de reproduction des mentions d'information, de fourniture et d'entretien d'une documentation précise des mesures de protection
  • L'exigence de coopération entre les parties et avec la Cnil
  • Les modalités de notification des failles de sécurité
  • L'entretien des dispositifs internes du prestataire permettant d'attester en tout temps de la protection structurelle
  • Les mesures d'urgence en cas de fuite de données et/ou de non-conformité du dispositif aux niveaux convenus

Contrats fournisseurs, sous-traitants hors UE, géolocalisation de la flotte auto... Quelles seront les implications du RGPD pour les services achats? Me Sylvain Staub, du cabinet Staub & Associés, apporte des précisions sur ces points particuliers.

20 [Cas pratique] Les enjeux du RGPD pour les sous-traitants gérant des données personnelles

Selon IDC, de nombreuses sociétés vont décider d'externaliser le traitement des données RH afin de limiter leurs risques et de respecter leurs obligations de conformité. Alors comment assurer la conformité des entreprises à moins d'un an de l'applicabilité du RGPD? En tant que sous-traitant, quelles sont les précautions à prendre en compte pour intégrer les nouvelles exigences du RGPD en toute sérénité?

21 Sous-traitant, un statut déjà existant, désormais plus exigeant

Un sous-traitant dispose d'un mandat de traitement des données personnelles défini par le responsable de traitement et agit sur instruction du responsable de traitement. Le mandat est principalement formalisé par les contrats qui lient le sous-traitant à ses clients. Ainsi, une mise à jour active et continuelle des modèles de contrats en intégrant directement les clauses obligatoires décrites à l'article 28 du RGPD permet dans un premier temps d'être conforme contractuellement. Afin d'établir les rôles et responsabilités en matière de protection des données personnelles, une politique et une matrice de responsabilité type peuvent également être établies.

22 Se positionner comme partenaire de confiance

Le RGPD insiste sur les devoirs du sous-traitant:

  • Un devoir de conseil, notamment sur les sujets de sécurité,
  • Un devoir d'assistance en cas de demande des personnes concernées,
  • Un devoir de coopération, par exemple en cas de contrôle de la CNIL.

Des devoirs qui nécessitent de se positionner comme partenaire de confiance pour ses clients. Une confiance et une coopération mutuelles d'autant plus indispensables que les sanctions sont désormais partagées, le sous-traitant pourra être contrôlé et sanctionné par la Cnil au même titre que l'est aujourd'hui le responsable de traitement.

23 Sous-traitant, un maillon d'une chaîne de conformité

Le sous-traitant occupe un maillon clé d'une chaîne de conformité et interagit avec différents acteurs. Il est parfois en relation contractuelle directe avec le responsable de traitement, et parfois avec le sous-traitant d'un responsable de traitement (un éditeur SaaS sous contrat avec un hébergeur par exemple).

La conformité au RGPD du sous-traitant est une condition essentielle pour assurer la conformité de la chaîne globale de sous-traitance. Mais elle n'est pas suffisante: chaque maillon devra être en capacité de démontrer sa conformité. Via le processus de gestion des fournisseurs, il est nécessaire de garantir que les prestataires, aussi bien en amont qu'en aval de la chaîne de sous-traitance, répondent aux exigences.

24 Le SMSI, un appui incontournable

Le SMSI, ou système de management de la sécurité de l'information, est un outil incontournable dans le processus de mise en conformité au RGPD. Plus il est mature, c'est-à-dire plus il s'est enrichi de nouveaux référentiels tels que ISO 27002, PCI-DSS ou encore le formulaire P6 de l'Agrément HDS, moins il sera complexe de répondre aux exigences du RGPD. En s'appuyant sur l'organisation, les procédures, et les mesures de sécurité existantes, puis en les enrichissant, notamment via les contrôles complémentaires du référentiel ISO 27018 relatif à la sécurité des données personnelles dans le cloud, le sous-traitant peut faire converger les deux démarches dans un ensemble cohérent.

Ainsi, la désignation du DPO (Data Protection Officer), la sensibilisation des équipes internes à la protection des données personnelles et aux nouveaux outils à intégrer font partie des étapes indispensables pour intégrer le RGPD en toute sérénité. Aujourd'hui, les sous-traitants s'appuient principalement sur les directives du G29 pour les premiers travaux de mise en conformité. Ces divers éléments ne seront pas les seuls à prendre en compte. Ainsi, nous pouvons nous attendre à de nouvelles directives du G29, à la déclinaison du RGPD en actes délégués, ou encore à la révision de la Loi informatique et libertés puis des décrets d'application. Afin d'anticiper ces éventuels changements, il est utile de rester en veille permanente afin d'ajuster les travaux réalisés, en cours et à venir.

Par Adèle Adam, Data Protection Officer chez Claranet

Comment les sous-traitants gérant des données personnelles peuvent-ils assurer leur mise en conformité avec le RGPD? Retrouvez les conseils d'Adèle Adam, DPO chez Claranet.

25 [Cas pratique] L'impact du RGPD sur les services commerciaux

Au contact des clients, les commerciaux sont en première ligne en matière de recueil de données personnelles. "La plupart des CRM disposent de zones de texte libre, dans lesquelles les utilisateurs peuvent saisir des commentaires liés à un individu (client, fournisseur, ou personnel par exemple), souligne Lucette Gaillard Commisso, directrice marketing et data intelligence chez Coheris, dans une tribune parue sur le site Actionco.fr. Il faut donc être en mesure d'identifier les données sensibles souvent présentes dans les zones de commentaires libres des applications métier de l'entreprise. La mise en conformité d'une entreprise passe aussi par la mise en conformité de ses outils et l'utilisation qui en est faite. Il est important d'identifier les données personnelles stockées dans Le CRM et de s'assurer que ce dernier permet de répondre aux exigences du RGPD: recueil du consentement, traçabilité des modifications, droit d'accès aux données et droit à la portabilité, et aussi droit à l'oubli et traitements d'anonymisation."

C'est pourquoi la Cnil recommande de limiter le recours à ces zones de commentaires libres, et de leur préférer l'utilisation de menus déroulants. "Cependant, l'utilisation de ces zones permet d'assurer le suivi d'un dossier client ou de personnaliser la relation commerciale, rappelle Lucette Gaillard Commisso. Dans ce cas, la Cnil préconise la réalisation d'audits réguliers et le recours à des outils automatiques. On peut par exemple utiliser des solutions de type datamining, text mining permettant d'identifier et de monitorer en temps réel (ou en différé), les données sensibles dans les zones de commentaires libres des applications de l'entreprise. Ainsi, toute saisie non conforme pourra être détectée et corrigée en temps réel."

26 Quelles conséquences pour les commerciaux et leurs clients?

On comprend dès lors que les services commerciaux doivent être tout particulièrement sensibilisés au nouveau règlement européen sur la protection des données personnelles, "notamment dans le cas de collecte directe (art.13 du RGPD)", insiste Lucette Gaillard Commisso. D'après cet article, le commercial devra fournir à la personne concernée un certain nombre d'informations lors de la collecte de données personnelles.

"Le RGPD impose d'informer les clients et prospects sur l'usage qu'il est fait de leurs données personnelles. Ce qui impose donc plus de transparence, et donc un climat de confiance qui sera bénéfique dans la relation client-fournisseur", juge l'experte.

Retrouvez l'intégralité de la tribune de Lucette Gaillard Commisso sur le site Actionco.fr: "RGPD, pourquoi cela concerne aussi les commerciaux"

La prospection commerciale induit la collecte de données sur les clients, c'est pourquoi les commerciaux constituent une population à sensibiliser en priorité au RGPD. Lucette Gaillard Commisso, directrice marketing et data intelligence chez Coheris, analyse les enjeux du RGPD dans la vente.

27 [Focus] Le principe de coresponsabilité entre le responsable de traitement et le sous-traitant

Jusqu'à présent, les exigences de protection des données à caractère personnel ne s'imposaient qu'aux responsables de traitement. À partir du 25 mai 2018, les responsabilités peuvent être partagées avec leurs sous-traitants, en application du principe de coresponsabilité.

28 1 - Le principe de coresponsabilité entre le responsable de traitement et le sous-traitant: décryptage

Le Règlement européen sur la protection des données personnelles définit le sous-traitant comme la personne physique ou morale qui traite des données personnelles directement ou indirectement pour le compte du responsable de traitement. Sont ainsi concernés les hébergeurs, intégrateurs de logiciels, webmarketeurs, sociétés de sécurité informatique etc.

Le sous-traitant pourra engager sa responsabilité et être condamné au versement de dommages et intérêts en cas de manquements à ses propres obligations (décrites ci-après) ou s'il a agi en dehors des instructions licitées du responsable de traitement.

29 2 - Implications opérationnelles côté sous-traitant

Du point de vue du sous-traitant, la principale conséquence est qu'il devra respecter une grande partie des obligations déjà imposées aux responsables de traitements:

  • La tenue d'un registre des activités de traitement,
  • La mise en oeuvre de mesures de sécurité (exemples: outils de pseudonymisation ou de de chiffrement de données),
  • L'obligation de notification dans les meilleurs délais en cas de faille de sécurité ou de fuite d'informations,
  • La définition des processus concourant aux modalités d'exercice des droits des personnes mises en oeuvre par le responsable de traitement.

Le sous-traitant devra également veiller à:

- challenger la licéité des instructions transmises par le responsable du traitement,

- disposer de l'autorisation du responsable de traitement afin de faire appel à un sous-traitant.

30 3- Implications opérationnelles côté responsable de traitement

Du point de vue du responsable de traitement, le principal corollaire est l'élaboration du contrat de sous-traitance qui devient obligatoire.

Le contrat de sous-traitance doit préciser a minima les éléments suivants:

  • l'objet et la durée du traitement concerné,
  • La nature et la finalité du traitement,
  • Le type de données traitées,
  • La catégorie de personnes concernées.

On veillera à inclure dans le contrat de sous-traitance des engagements contractuels forts en matière de:

- conformité des traitements aux instructions données par le responsable de traitement,

- confidentialité des données personnelles,

- mesures techniques et organisationnelles,

- respect des principes de privacy by design et security by default,

- sous-sous-traitance,

- respect des droits des personnes,

- notification des violations de données à caractère personnel,

- suppression et restitution des données,

- registre des catégories d'activité de traitement.

Dernier point: exiger contractuellement la mise à disposition par le sous-traitant de la documentation permettant de démontrer le respect de toutes ses obligations, et faciliter ainsi la réalisation d'audits.

L'auteur: Romain Maillard, senior manager au sein du département de BDO France dédié aux activités de conseil. Depuis 2009, il accompagne ses clients dans leur projet de cartographie des risques, dans l'évaluation de leurs procédures de contrôle interne, et intervient sur de nombreux sujets liés à la compliance. Romain apporte également son expertise dans le cadre de la structuration de dispositifs de lutte anti-fraude et conduit des missions d'investigations en exploitant les données comptables et financières. Romain est Certified Fraud Examiner et diplômé de Neoma (ESC Rouen).

Security by design, privacy by default, coresponsabilité... Le RGPD introduit plusieurs nouveautés dans les traitements de données. Romain Maillard, senior manager chez BDO, propose un focus sur le principe de coresponsabilité entre responsable de traitement et sous-traitant.

31 [Focus] Le RGPD et la génération de leads

La Certified Senders Alliance, un projet conjoint de l'association allemande du commerce électronique eco e.V. (Verband der Internetwirtschafft) et de l´association allemande du marketing de dialogue (deutscher Dialogmarketing Verband) prodigue dix conseils aux entreprises commerciales afin qu'elles puissent éviter les écueils et respecter les règles tout en réalisant des campagnes réussies d'e-mailing.

Voici 5 recommandations extraites de cette publication parue sur Ecommercemag.fr:

32 #1 Le double opt-in est indispensable

Selon le RGPD, les expéditeurs d'e-mails groupés doivent toujours prouver, pour chaque cas, qu'ils ont le consentement du destinataire avant de lui envoyer un courriel. Ce consentement devra être volontaire, actif, explicite et avoir lieu séparément pour chaque cas concret. Les destinataires d'e-mailing doivent avoir donné leur accord explicite.

Dans le cas de la pratique double opt-in (DOI), le destinataire qui veut s'abonner à une newsletter doit confirmer à nouveau son accord en cliquant sur un lien dans un e-mail de confirmation. De cette façon, on obtient le consentement actif du destinataire et les règles sont respectées. Pour les expéditeurs de courriels commerciaux, le DOI sera inévitable. Ils doivent utiliser cette pratique et la documenter afin de pouvoir prouver le consentement en cas de doute.

33 #2 Vous êtes responsables

En tant qu'entreprise commerciale, vous devez veiller à ce que les directives du RGPD soient respectées avant d'envoyer vos e-mails car vous serez responsables en cas de violation. Non seulement vous, mais aussi votre fournisseur de service de courrier électronique, êtes responsables et vous devez respecter le RGPD. Réfléchissez donc bien à qui vous vous adressez pour vos services d'e-mailing.

34 #3 Obligation de transparence

La collecte des données personnelles est liée à l'obligation d'information de la personne concernée. Vous êtes donc tenu d'informer tous ceux qui s'abonnent à une newsletter du traitement des données collectées (quand, où et par qui).

35 #4 Facilitez la vie de vos prospects et clients

Naturellement, vous voulez que le plus grand nombre de personnes possible s'abonne et lise votre newsletter. Mais ne rendez pas la procédure de désinscription trop difficile. Un abonné qui ne peut se désinscrire rapidement et simplement est vite agacé et vos mails finiront aussi vite dans la boîte de spam. Rendez la procédure de désinscription la plus simple possible. Utilisez un en-tête "list unsubscribe" comme la CSA l'exige déjà depuis quelque temps dans ses critères d'admission. Se désinscrire doit être rendu le plus simple possible.

Employez le nouveau protocole RFC 8058 (one click unsubscribe) afin que le destinataire puisse se désinscrire en un simple clic. Cela empêche en même temps que les abonnés soient involontairement désinscrits par exemple par des programmes anti-spam. Mais veillez à ce que l'en-tête "list unsubscribe" fasse partie de la signature DKIM (domain keys identified mail, une méthode d'authentification de cryptage utilisée par de nombreux fournisseurs de services pour savoir si le message provient d'un système autorisé. Il empêche ainsi les spammeurs de se faire passer pour des entités légitimes.)

36 #5 Dernier conseil: soyez honnête!

L'honnêteté et la transparence jouent un rôle fondamental dans le marketing par e-mail. Traitez vos destinataires comme vous voudriez être traités et veillez à maintenir une bonne réputation. Ainsi vos clients vous feront confiance, les FAI enverront vos mails et vous n'aurez rien à craindre de la loi.

Retrouvez ici l'intégralité de cette tribune: "10 conseils pour réussir ses e-mailings dans le respect du RGPD"

Plus de détails sur le consentement préalable

Par ailleurs, Sarbacane Software s'est penché sur la question du consentement préalable, et propose sous forme d'infographie un résumé clair et concis des bonnes pratiques à adopter: "[Infographie] RGPD: zoom sur le consentement préalable"

Comment générer des leads tout en respectant le RGPD? La Certified Senders Alliance, un projet conjoint de l'association allemande du commerce électronique eco e.V. et de l´association allemande du marketing de dialogue, propose quelques conseils sur le sujet. Voici un extrait de sa tribune.

37 [Focus] Le principe de limitation de la conservation des données

38 1 - La limitation de conservation des données: décryptage

Le Règlement européen sur la protection des données exige que les données personnelles ne soient conservées que pendant une durée n'excédant pas celle nécessaire au regard des finalités du traitement correspondant.

Pour rappel, la "finalité" est la raison pour laquelle l'organisation collecte des données, ce pour quoi elle va utiliser les données.

Exemple: la collecte d'images d'une caméra de surveillance disposée à l'entrée d'un bâtiment pour sécuriser les allers et venues est une finalité. Conserver ces données au-delà d'un mois n'est ni légitime, ni conforme à la loi (puisqu'en l'espèce, la durée de conservation de ces données a été fixée par la Cnil).

En pratique, pour chaque traitement, vous devrez déterminer la durée de conservation des données en fonction de sa finalité:

  • En tenant compte des éventuelles durées de conservation maximales imposées par la Cnil (ce qui simplifie la réflexion... [NDLR: pour plus de précisions, voir le référentiel indicatif établi par la Cnil et se rapprocher de la commission en cas de doute]),
  • Pour les finalités qui n'ont pas de durée de conservation encadrée par la loi, en partant du principe que la durée de conservation doit être limitée au strict minimum (il n'empêche que vous devrez tenir compte des obligations légales à conserver certaines données).

39 2 - Implications opérationnelles

On pourra se poser quatre bonnes questions pour déterminer la durée de conservation pour un traitement donné:

  • Jusqu'à quand mon organisation a-t-elle vraiment besoin des données pour atteindre l'objectif fixé?
  • Mon organisation a-t-elle des obligations légales de conserver les données pendant un certain temps?
  • Mon organisation doit-elle conserver certaines données en vue d'être protégée contre un éventuel contentieux?
  • Jusqu'à quand puis-je faire valoir ce recours en justice ?

Le mieux est de mener cette réflexion au moment de l'élaboration du registre des traitements. D'abord puisque l'article 30 du RGPD exige que les durées de conservation soient mentionnées au registre. Ensuite, car les "métiers" (qui doivent être impérativement rencontrés lors de cet exercice) sont les mieux placés pour appréhender la durée de vie utile propre à la finalité de chaque traitement.

L'autre question qu'il conviendra de traiter sera plus opérationnelle: quelles sont les règles de suppression des données au sein de mon organisation? En d'autres termes, comment est géré l'effacement des données à l'issue de la durée de vie utile déterminée?

Dans l'idéal, on formalisera une politique de conservation et d'archivage des données pragmatique et exhaustive. Ce document indiquera les personnes impliquées, les fréquences d'effacement, les logiciels utilisés (audités ou certifiés par l'ANSSI tant qu'à faire), etc.

Là encore, il conviendra d'impliquer les opérationnels concernés (exemple: DRH, administration des ventes, etc.) dans l'élaboration de ce document, voire dans le process lui-même (exemple: déclenchement du process de suppression à partir d'un e-mail).

Si chaque traitement a été correctement identifié et qualifié, vous devriez être en capacité de repérer aisément le(s) support(s) sur lesquels les données sont stockées. Cette cartographie facilitera l'application du processus de suppression défini.

L'auteur

Romain Maillard, senior manager au sein du département de BDO France dédié aux activités de conseil. Depuis 2009, il accompagne ses clients dans leur projet de cartographie des risques, dans l'évaluation de leurs procédures de contrôle interne, et intervient sur de nombreux sujets liés à la compliance. Romain apporte également son expertise dans le cadre de la structuration de dispositifs de lutte anti-fraude et conduit des missions d'investigations en exploitant les données comptables et financières. Romain est Certified Fraud Examiner et diplômé de Neoma (ESC Rouen).

Le Règlement européen sur la protection des données personnelles, qui entre en application le 25 mai 2018, renforce les obligations en matière de conservation des données. Limitée dans le temps, cette dernière est corrélée à la finalité du traitement. Zoom sur cet aspect avec le cabinet BDO.

40 [Focus] Le principe de transparence et l'information des personnes concernées

41 1 - Le principe de transparence: décryptage

Le RGPD (Règlement européen sur la protection des données) exige queles personnes concernées soient informées du traitement de leurs données à caractère personnel. C'est le principe de transparence. Les données ne peuvent être traitées qu'après communication aux personnes concernées d'une information complète sur le traitement.

Le principe de transparence vaut tout particulièrement dans des situations où la multiplication des acteurs et la complexité des technologies utilisées font qu'il est difficile, pour la personne concernée, de savoir et de comprendre si des données personnelles la concernant sont collectées, par qui et à quelle fin, comme dans le cas de la publicité en ligne. Toutefois, le principe de transparence doit être respecté pour tout traitement de données personnelles.

Le règlement énumère un ensemble d'informations devant être obligatoirement communiqué aux personnes concernées. Les informations à fournir ne sont pas les mêmes selon que celles-ci ont été collectées directement auprès de la personne concernée, ou que celles-ci proviennent d'une voie indirecte, i.e. via un tiers (exemple: location de bases clients).

Quelles que soient les modalités de collecte, le responsable de traitement devra informer les personnes concernées de:

  • Son identité, de ses coordonnées, et de celles du DPO (délégué à la protection des données);
  • La finalité du traitement et de la base juridique (consentement, contrat, etc.);
  • L'identité des destinataires des données;
  • L'existence de transferts en dehors de l'UE;
  • La durée de conservation des données;
  • L'existence des droits d'accès, de rectification, d'effacement, de limitation et d'opposition au traitement et du droit à la portabilité (tout en gardant en mémoire que certains droits ne s'appliquent pas à certains traitements);
  • L'existence du droit d'introduire une réclamation auprès d'une autorité de contrôle (exemple: Cnil);
  • L'existence d'une prise de décision automatisée le cas échéant (exemple: profilage).

En cas de collecte indirecte, il conviendra également de repréciser les catégories de données à caractère personnel concernées et la source de ces données.

En cas de collecte directe, il faudra indiquer le caractère règlementaire ou contractuel de l'exigence de la fourniture des données, ainsi que les conséquences de leur non-fourniture.

La communication de ces informations est obligatoire, à quatre exceptions près:

  • Si la personne concernée dispose déjà de ces informations;
  • Si la fourniture de telles informations se révèle impossible ou exigerait des efforts disproportionnés;
  • Si le droit de l'Union Européenne ou celui d'un État membre prévoient l'obtention ou la communication des données;
  • S'il s'agit de données confidentielles en vertu d'une obligation de secret professionnel.

42 2 - Implications opérationnelles

Cette information doit être délivrée de façon "concise, transparente, compréhensible, et aisément accessible, en des termes clairs et simples" et apparaître sur différents supports. Par exemple, pour les données RH, l'information pourra être communiquée au travers:

  • de documents contractuels (contrats de travail),
  • du site internet de l'entreprise en cas de formulaire de collecte de données (exemple: candidature en ligne),
  • du livret d'accueil (données relatives à la formation ou à la mobilité par exemple),
  • de la politique générale "Privacy" de l'entreprise.

On pourra s'inspirer des modèles de mentions d'information diffusés par la Cnil pour faciliter le travail rédactionnel.

Pour être certain d'informer systématiquement les personnes concernées, il conviendra d'identifier les moyens de collecte propre à chaque traitement. Le plus simple est de réaliser ce recensement au moment de l'élaboration du registre des traitements.

L'auteur

Romain Maillard, senior manager au sein du département de BDO France dédié aux activités de conseil. Depuis 2009, il accompagne ses clients dans leur projet de cartographie des risques, dans l'évaluation de leurs procédures de contrôle interne, et intervient sur de nombreux sujets liés à la compliance. Romain apporte également son expertise dans le cadre de la structuration de dispositifs de lutte anti-fraude et conduit des missions d'investigations en exploitant les données comptables et financières. Romain est Certified Fraud Examiner et diplômé de Neoma (ESC Rouen).


Le Règlement européen sur la protection des données impose aux organisations de fournir aux personnes concernées une information complète sur les traitements de leurs données personnelles: c'est le principe de transparence. Zoom sur cet aspect du règlement avec le cabinet BDO.

43 [Focus] L'élaboration du registre des traitements

44 1 - Le registre des traitements: présentation et décryptage

L'élaboration (et la tenue) du registre des traitements mis en oeuvre dans l'entreprise est une des clés de voûte du RGPD. Vous devez être en capacité d'identifier avec précision les types de données à caractère personnel dont dispose votre organisation et savoir où celles-ci sont stockées et transférées.

L'élaboration du registre consiste à indiquer pour chaque traitement de données personnelles:

  • La finalité du traitement (exemples: gestion des clients, paye, etc.);
  • Les catégories de personnes concernées (exemples: salariés, clients, etc.);
  • Les natures des données traitées (exemples: noms, prénoms, données de santé, etc.);
  • Les catégories de destinataires amenés à utiliser les données (DRH, service informatique, prestataires, etc.);
  • Les transferts en dehors de l'UE;
  • Les durées de conservation;
  • Les mesures de sécurité techniques et organisationnelles en place.

Il est essentiel d'établir la liste des traitements par finalité principale (l'objectif du traitement) et non par outil ou applicatif utilisé.

Pour les lecteurs les moins à l'aise avec le concept de finalité de traitement, voici ci-après quelques exemples de finalités communes à beaucoup d'organisations:

  • RH: paye, recrutement, gestion des carrières et formation;
  • Moyens généraux: badges d'accès, vidéosurveillance;
  • Ventes et marketing: gestion des clients et prospects;
  • Achats: questionnaires fournisseurs;
  • SI: suivi des connexions internet, surveillance de l'utilisation des outils informatiques;
  • Autres: dispositif d'alerte professionnelle (mis en place dans le cadre de Sapin II par exemple).

45 2 - Implications opérationnelles

Afin de construire le registre des traitements, il conviendra d'identifier puis de rencontrer les interlocuteurs-clés traitant les données personnelles au sein de votre organisation (direction des systèmes d'information, ressources humaines, services généraux, marketing, achats, etc.). Ces entretiens pourront être l'occasion de sensibiliser ces personnes-clés à propos des problématiques de protection et de sécurité des données personnelles.

On pourra très bien prendre comme modèle le registre proposé par la Cnil sur son site. Toutefois, rien n'interdit de survitaminer la trame du registre pour en faire un véritable outil de pilotage de votre trajectoire de mise en conformité.

Ce registre, relevant alors davantage du tableau de bord, pourra inclure à titre d'exemple les notions et enjeux suivants:

  • La base juridique du traitement, et l'explicitation attendue dans le cas où l'intérêt légitime a été retenu comme fondement du traitement;
  • Le respect du principe de transparence pour le traitement répertorié (les personnes concernées ont-elles reçues les informations nécessaires? Via quel support?);
  • Le sous-traitants en lien avec le traitement et le niveau de conformité de ces sous-traitants;
  • Etc.

C'est l'ensemble des problématiques RGPD qui pourront être embarquées pour faire de ce registre un outil puissant et centralisant toute l'information utile.

L'auteur

Romain Maillard, senior manager au sein du département de BDO France dédié aux activités de conseil. Depuis 2009, il accompagne ses clients dans leur projet de cartographie des risques, dans l'évaluation de leurs procédures de contrôle interne, et intervient sur de nombreux sujets liés à la compliance. Romain apporte également son expertise dans le cadre de la structuration de dispositifs de lutte anti-fraude et conduit des missions d'investigations en exploitant les données comptables et financières. Romain est Certified Fraud Examiner et diplômé de Neoma (ESC Rouen).

Pierre angulaire de la démarche RGPD, le registre des traitements doit faire l'objet d'un soin tout particulier. Décryptage, avec le cabinet BDO, du contenu et de l'élaboration de ce précieux outil.

46 [Focus] Le principe de privacy by design, ou de protection de la vie privée dès la conception

47 1 - Le principe de privacy by design: décryptage

Le principe de privacy by Design (ou de protection de la vie privée dès la conception) impose aux responsables de traitement d'anticiper, dès l'étape de définition d'un projet, toutes les contraintes juridiques en matière de protection des données à caractère personnel. Que ce soit dans le cadre du développement d'une application ou de l'élaboration d'un logiciel, le RGPD exige ainsi l'intégration des problématiques "Informatique et Libertés" à tous les stades du cycle de vie du projet: depuis la définition des besoins et des spécifications jusqu'au déploiement et à la maintenance.

48 2 - Implications opérationnelles

Opérationnellement, le privacy by design pourra bousculer vos modèles de gouvernance de projets informatiques. Il conviendra d'attirer l'attention des opérationnels sur le respect des dispositions applicables et challenger les métiers entre autres à propos des finalités poursuivies, des données réellement nécessaires qui doivent être collectées, des durées de conservation minimales, etc.

La mise en oeuvre du principe de privacy by design peut se décliner en une checklist d'(au moins) 6 corollaires essentiels qui doivent apparaître d'une manière ou d'une autre dans le cahier des charges de votre projet de développement:

1 - Vous devez veiller à respecter le principe de minimisation, et ce dès la phase d'étude préalable, en poursuivant l'objectif de réduire la quantité des données collectées au strict minimum. Illustration: la collecte de données de géolocalisation n'est pas indispensable à la pérennité d'une application de commande de vin en ligne. Un champ flagué comme facultatif dans un questionnaire a d'immenses chances de pouvoir être considéré comme superflu et peut être ainsi écarté. Dans la mesure du possible, on privilégiera l'utilisation de listes déroulantes plutôt que l'emploi de champs libres.

2 - Votre cahier des charges doit préciser où et de quelle manière les informations exigées par le Règlement seront communiquées aux personnes concernées. Pour reprendre l'exemple précédent, l'éditeur doit prévoir, entre autres, d'indiquer dans le formulaire de création du compte utilisateur que les données qu'il collecte à travers son application seront susceptibles d'être transférées au réseau des vignerons indépendants du pays Dacquois (façon de rappeler que les tiers doivent être clairement identifiées).

3 - Vous devez également définir avec une granularité aussi fine que possible les modalités d'exercice des droits des personnes et la manière dont les réponses peuvent être fournies. Une automatisation des réponses aux demandes de droits d'accès ou de portabilité peut ainsi être envisagée.

4 - Il convient aussi de déterminer les durées de conservation adéquates et d'étudier les modalités de suppression dès la phase de conception. Il pourra être décidé dès la phase de conception de mettre en place un effacement automatique des données après X mois suivant la désinstallation de l'application par l'utilisateur.

5 - Il faut envisager dès le stade de la conception et dans la mesure du possible, la pseudonymisation des données à caractère personnel, pour minimiser l'impact potentiel d'un vol de données.

6 - Enfin, la création et la gestion des profils utilisateurs donnant des droits d'accès aux données (et d'une manière plus générale la prise en compte de l'ensemble des exigences de sécurité) doivent également être intégrées à la réflexion.

L'auteur

Romain Maillard, senior manager au sein du département de BDO France dédié aux activités de conseil. Depuis 2009, il accompagne ses clients dans leur projet de cartographie des risques, dans l'évaluation de leurs procédures de contrôle interne, et intervient sur de nombreux sujets liés à la compliance. Romain apporte également son expertise dans le cadre de la structuration de dispositifs de lutte anti-fraude et conduit des missions d'investigations en exploitant les données comptables et financières. Romain est Certified Fraud Examiner et diplômé de Neoma (ESC Rouen).

Le principe de privacy by design est l'une des nouveautés introduites par le Règlement européen sur la protection des données personnelles (RGPD). Quelles sont les implications concrètes de ce principe? Comment le mettre en oeuvre? Romain Maillard, du cabinet BDO, analyse cet aspect majeur du RGPD.

49 [Focus] Contrôle de la Cnil: à quoi faut-il s'attendre?

L'échéance du 25 mai 2018 approche à grands pas, et le montant des amendes administratives prévues par le RGPD (jusqu'à 4% du CA mondial de l'organisation prise en défaut) donne des sueurs froides à nombre de dirigeants. Il est vrai que la montée en puissance des sanctions financières, bien plus élevées que celles prévues par la loi Informatique et libertés de 1978 (maximum 300 000€ d'amende), constitue l'une des évolutions marquantes du RGPD en matière de protection des données personnelles.

Pour autant, l'objectif de cette réglementation est de renforcer les droits des personnes dont les données font l'objet d'un traitement, et non de lancer une chasse aux sorcières parmi les responsables de traitements. Dans un entretien récemment accordé au magazine Solutions numériques, Jean Lessi, secrétaire général de la Cnil, a tenu un discours plutôt rassurant: la Cnil ne va pas tirer à boulets rouges sur les entreprises "dans les premiers mois", sauf en cas "de manquements manifestes et graves". Alors, à quoi faut-il s'attendre en cas de contrôle de la Cnil après l'entrée en application du RGPD?

50 En amont: comment se décide l'organisation d'un contrôle

Toute entreprise ou organisation publique qui effectue des traitements de données personnelles est susceptible d'être visée par une mission de contrôle de la Cnil, qu'elle dispose ou non d'un DPO. À noter, le nouveau règlement européen sur la protection des données prévoit "la réalisation d'opérations de contrôle conjointes par plusieurs autorités européennes de protection des données" (article 62 du RGPD).

Peuvent être visées toutes les structures effectuant "tous les traitements de données à caractère personnel dont le responsable dispose d'un établissement sur le territoire français ou qui recourt à des moyens de traitement situés sur ce territoire", précise la Cnil. Mais dans le cas d'un contrôle sur place, la démarche ne peut se dérouler que dans un établissement situé sur le territoire français.

La décision de contrôler un établissement est prise "par le président de la Cnil, sur proposition du service des contrôles." Cette démarche peut, par exemple, faire suite à une plainte d'un tiers ou encore à une demande d'autorisation de traitement.

51 Comment se déroule un contrôle

Il existe 3 types de contrôles:

Le responsable du traitement visé par le contrôle n'est pas systématiquement prévenu. Dans le cas d'un contrôle en ligne, par exemple, les agents de la Cnil effectuent des vérifications "à partir d'un service de communication au public en ligne" (par exemple, un site internet). "Ces contrôles se limitent à la consultation des données librement accessibles ou rendues accessibles, y compris par imprudence, négligence ou du fait d'un tiers", indique la Cnil.

En revanche, lorsque le contrôle se déroule sur audition, "la convocation doit parvenir à la personne auditionnée au moins 8 jours avant la date du contrôle."

52 Quels sont les documents à fournir?

L'objectif premier des agents est d'obtenir "copie du maximum d'informations, techniques et juridiques, pour apprécier les conditions dans lesquelles sont mis en oeuvre des traitements de données à caractère personnel." Le panel des documents susceptibles d'être demandés est donc très large: contrats (locations de fichier, sous-traitance informatique, etc.), formulaires, dossiers papiers, base de données... Bref, tout ce qui a trait aux traitements des données personnelles. Une situation où le dirigeant se félicitera de disposer d'un registre des activités de traitement tenu à jour (obligatoire pour les entreprises de plus de 250 salariés et pour celles qui effectuent des traitements sensibles selon l'article 30 du RGPD)!

La délégation de la Cnil peut exiger une copie de l'ensemble de ces documents: à l'issue du contrôle, le procès-verbal établi précisera la liste des pièces qui ont fait l'objet d'une copie.

53 Quelles sont les sanctions envisageables?

Suite à cette démarche de contrôle, la Cnil examine les documents recueillis. S'il n'y a pas d'observations particulières, "le contrôle est clôturé par un courrier du président de la Cnil qui peut contenir des recommandations (ex.: modification des durées de conservation, des mesures de sécurité, etc.).".

Mais si des manquements sérieux sont relevés, "le dossier est transmis à la formation restreinte de la Cnil", qui peut alors prononcer des sanctions. "Cette transmission à la formation restreinte n'est pas exclusive d'une dénonciation au Parquet (article 40 du code de procédure pénale)", précise la Cnil. Le montant des amendes administratives prévues par le RGPD a largement contribué à l'agitation qui entoure son entrée en vigueur: selon la catégorie de l'infraction, il peut atteindre 10 à 20 M€, ou, dans le cas d'une entreprise, 2 à 4% du chiffre d'affaires annuel mondial (art. 83 du RGPD).

Cependant, ces amendes correspondent à des infractions graves. Avant d'en arriver à de telles sanctions, les autorités de protection pourront tout d'abord prononcer un avertissement, puis mettre en demeure l'entreprise de se mettre en conformité. La suspension des flux de données hors UE peut également être exigée, ainsi que la limitation temporaire ou définitive d'un traitement. Une sanction qui peut être très pénalisante pour une structure dont l'activité est principalement basée sur les traitements de données!

L'article 83 du RGPD précise que "pour décider s'il y a lieu d'imposer une amende administrative et pour décider du montant de l'amende administrative, il est dûment tenu compte, dans chaque cas d'espèce" d'éléments précis listés par le règlement. Ainsi, la nature, la gravité et la durée de la violation, mais aussi son caractère délibéré, entre autres, pèsent dans la balance. "Toute mesure prise par le responsable de traitement ou le sous-traitant pour atténuer le dommage subi par les personnes concernées" sera également prise en compte dans la décision.

Enfin, les propos de Jean Lessi, rapportés par le magazine Solutions numériques, ont de quoi rassurer les responsables de traitements de données qui peinent à boucler leur mise en conformité: "Tout le monde ne sera pas forcément conforme le 25 mai, l'essentiel est d'avoir pris conscience et de s'engager dans cette démarche de conformité", a souligné le secrétaire général de la Cnil. L'autorité de contrôle est "consciente de la nouveauté" de certaines obligations (portabilité, notification des violations de données notamment) et "va intégrer la nécessaire courbe d'apprentissage dans sa politique répressive."

Pour bien se préparer aux contrôles de la Cnil, le cabinet Lexing Alain Bensoussan propose un "guide des contrôles Cnil".

Retrouvez également tous les détails sur les contrôles de la Cnil sur le site de la commission.

Le 25 mai 2018, le RGPD entrera en application. Et après? À quoi seront confrontées les structures qui devront, à la demande des autorités, prouver que leurs traitements de données personnelles sont conformes au nouveau règlement? Le point sur la procédure de contrôle de la Cnil.

54 [Outils] 17 fiches pratiques de la Cnil sur la protection des données personnelles

L'entrée en application du RGPD, le 25 mai 2018, suscite des inquiétudes au sein des entreprises. En cause: l'ampleur du chantier à mettre en oeuvre pour atteindre la conformité avec ce nouveau règlement.

Loin de se poser en censeur inflexible, la Cnil multiplie les outils pour aider les professionnels à mieux gérer les données personnelles qu'ils traitent dans le cadre de leur activité, et à respecter les droits des personnes dont les informations sont recueillies.

Si le RGPD introduit plusieurs nouveautés en matière de protection des données (privacy by design, security by default, portabilité des données, accountability, coresponsabilité avec le sous-traitant, notification à la Cnil des incidents de sécurité, nomination d'un DPO dans certains cas), un certain nombre de précautions élémentaires devraient déjà être mises en oeuvre au sein des organisations qui traitent des données personnelles.

C'est pourquoi la Cnil a résumé dans un guide pratique, publié le 23 janvier 2018, les principes de base de la data protection et de la sécurité informatique.

55 17 fiches pratiques pour rappeler les précautions élémentaires de la data protection

Accessible en version web ou sous forme de PDF téléchargeable, ce guide élaboré par la Cnil comporte 17 fiches pratiques traitant des thèmes suivants:

En fin de guide, une évaluation du niveau de sécurité des données personnelles est proposée. L'intégralité du guide peut être consultée ou téléchargée ici.

À l'heure où le RGPD fait couler beaucoup d'encre, la Cnil propose un guide pratique de la protection des données personnelles. En 17 fiches pratiques, cet outil rappelle les précautions à prendre lorsque l'on traite des données personnelles, ainsi que quelques bases de la sécurité informatique.

56 [Témoignage] Comment Teva Santé se prépare à la mise en conformité avec le RGPD

Filiale d'un groupe international pharmaceutique coté en Bourse à New York, Teva Santé se dit d'ores et déjà soumis à une conformité des plus strictes quant à la collecte des données de ses prospects et clients. Mais, se prépare à aller un cran plus loin le 25 mai 2018. "Le RGPD renforce les obligations d'information des personnes dont nous récoltons les données personnelles, explique Marie-Dominique de La Salle, directrice de la communication de Teva Santé et administrateur du Club des annonceurs. Et le directeur marketing endosse désormais la responsabilité des données personnelles présentes dans ses fichiers."

Comment le laboratoire pharmaceutique se prépare-t-il concrètement à la mise en conformité ?"Nous avons établi un relevé précis, en interne, de toutes les bases de données de l'entreprise, puis nous avons procédé au recensement de tous les traitements que nous effectuons sur les données", explique Marie-Dominique de La Salle. Teva Santé travaille ainsi à l'établissement du registre des traitements à présenter à la CNIL. Mais, l'entreprise doit également composer avec les nouveaux droits donnés aux individus par le règlement général sur la protection des données, comme celui de s'opposer au profilage. "Les clients peuvent ainsi demander à ne plus recevoir de messages de la part de Teva Santé ou à recevoir des messages généraux, mais à interdire d'utiliser leurs profils consommateurs à des fins marketings ou commerciales. Nous devons donc demander leurs consentements à tous nos clients", précise la directrice de la communication. En dernier lieu, Teva Santé revoit tous les contrats conclus avec des prestataires de services, en y intégrant de nouvelles obligations.

Et en interne, quels sont les changements ? La professionnelle fait part des bouleversements. "Depuis plus de sept mois, nous avons recensé tous les fichiers et les traitements et avons expliqué aux collaborateurs de Teva Santé toutes les actions mises en oeuvre sous forme de réunions de coordination avec les départements concernés, ainsi que de réunions de formation." L'entreprise a également recruté des Délégués à la protection des données (DPO) - un pour le compte de Teva Europe et un dans chaque pays. Ce " Compliance Officer " organise les réunions de coordination afin de réaliser l'inventaire des traitements de data. "Il est essentiel que l'ensemble des collaborateurs soient en ordre de marche pour le 25 mai 2018", prône Marie-Dominique de La Salle.

Article initialement paru sur Emarketing.fr: "RGPD : Comment Teva Santé se prépare à la mise en conformité"


Le règlement sur la protection des données personnelles (RGPD) entrera en vigueur le 25 mai 2018. D'ici là, les marques se doivent de préparer leur mise en conformité avec le texte, comme en témoigne Teva Santé.

57 [Témoignage] Nomination témoigne sur sa mise en conformité avec le RGPD

58 > Quel est l'impact du RGPD sur votre activité?

Notre métier, c'est de fournir des informations qualifiées et fiables à nos clients, pour leur permettre d'atteindre des objectifs de développement commercial. À cet effet, nous collectons des informations sur plusieurs centaines de milliers de décideurs en entreprise, et ce à plusieurs niveaux: leur fonction, leur périmètre de responsabilité et leur parcours. Or le règlement porte sur la protection des données personnelles: il vise donc toute information permettant, directement ou par recoupement, de remonter jusqu'à une personne physique.

Ainsi, une adresse mail professionnelle constitue une donnée personnelle, par exemple. Notre activité étant de collecter des informations sur les décideurs, nous sommes directement concernés par le RGPD, même si nous sommes en B to B. En matière de dataprotection, avec le RGPD, B to B et B to C, c'est le même combat!

59 > Comment avez-vous préparé votre mise en conformité? Quelles ont été les grandes étapes?

Il est impossible de raisonner uniquement par étapes, la mise en conformité avec le RGPD est un vrai chantier à part entière. L'idée a été de commencer par des choses simples, des actions de type "quick win", (modification des formulaires, désignation du futur DPO(1)...), tout en menant en parallèle des tâches de fond plus complexes (analyses d'impact, éléments de sécurité informatique...). Nous avons démarré le chantier RGPD à l'automne 2016, avec un audit réalisé par le cabinet Alerion, qui dispose d'un département spécialisé en droit de la propriété intellectuelle. Durant 2 mois, ses avocats ont réalisé un inventaire de nos pratiques, analysé nos contrats clients et fournisseurs, avant de nous faire des recommandations sur les étapes à mettre en place.

Entre janvier et février 2017, nous nous sommes approprié une partie de la documentation disponible sur le site de la Cnil: lecture du règlement, bien sûr, mais également des guides pratiques sur la relation fournisseur, sur les analyses d'impact, sur la désignation du CIL(2) (futur DPO)... Puis nous avons rédigé le registre des traitements, ce qui a nécessité un bon mois de travail afin de réaliser un inventaire précis. Là encore, la Cnil propose un modèle pour créer son registre.

Mission suivante: la réécriture de la politique de protection des données et sa mise en ligne sur notre site. Elle précise quelles sont les données collectées, l'utilisation qui en sera faite, qui sont les éventuels prestataires ou sous-traitants qui interviendront sur ces données, leur durée de conservation et le lien vers la page de désabonnement pour exercer son droit de retrait. Nous avons ensuite revu les contrats avec nos prestataires, afin d'y retranscrire la notion de coresponsabilité. Certains étant implantés en dehors de l'Union européenne, il a également fallu revoir les clauses de transfert hors UE.

En avril/mai 2017, nous avons désigné un CIL, qui deviendra en mai 2018 notre DPO.

De juin à octobre, nous avons mené les analyses d'impact et réalisé la cartographie des risques, afin d'envisager tous les scénarios qui pourraient entraîner une perte de données, de mesurer l'impact sur les personnes dont les données auraient été piratées et de réfléchir aux moyens à mettre en oeuvre pour limiter ces risques. Là encore, nous nous sommes appuyés sur la documentation de la Cnil, et cette démarche a débouché sur la mise en place d'un plan d'action visant à limiter les risques.

60 > Quels sont les chantiers encore en cours?

Nous travaillons encore avec Alerion sur un sujet-clé: le recueil du consentement. Comme nous sommes en B to B, l'opt-out reste la règle pour le moment (ce que nous a confirmé la Cnil), tant que le droit français n'a pas été modifié.

Notre méthode de collecte des données inclut déjà un appel systématique du décideur ou d'un proche collaborateur pour vérifier les informations que nous délivrons. Nous avons décidé de renforcer cette première approche du recueil du consentement par l'envoi a posteriori d'un e-mail reprenant toutes les informations que nous possédons sur le décideur afin qu'il puisse les modifier, les compléter ou bien faire jouer son droit de retrait. Nous historiserons l'ensemble des messages envoyés, ainsi que les retours éventuels. Ce dispositif, en cours de test, sera déployé d'ici avril prochain.

Parallèlement, nous avons modifié nos formulaires en ligne, en récrivant les mentions relatives au RGPD, et créé une adresse mail dédiée pour permettre d'exercer son droit de retrait. Nous avons également documenté l'ensemble du process de gestion des réclamations. Sur le long terme, nous devrons également tenir à jour le registre des traitements, et penser à réaliser les analyses d'impact en cas d'évolution de nos traitements.

61 > Quels conseils ou avertissements donneriez-vous à une entreprise qui doit mener sa démarche de conformité au RGPD?

De nombreux éléments du RGPD sont dans la continuité de la Loi informatique et libertés. La grande différence, c'est que le RGPD inverse les rôles: c'est désormais à l'entreprise de prouver qu'elle a mis en oeuvre un niveau de protection suffisant, et non à la Cnil d'apporter la preuve que le responsable du traitement n'est pas en conformité. Il ne reste que 100 jours avant le 25 mai 2018, le délai est donc très court pour être conforme si l'on s'y attelle seulement aujourd'hui. Mais quand on est déjà en phase avec la Loi informatique et libertés, le RGPD est un prolongement logique.

Il n'en demeure pas moins que cette démarche est très chronophage, et qu'il est nécessaire de se faire accompagner par des professionnels. Dernier point: un véritable engagement de la direction générale est indispensable, car c'est un projet d'entreprise, très transversal, qui fait interagir de nombreux services, le marketing, l'IT, la production, la Daf...

(1) DPO = délégué à la protection des données.

(2) CIL = correspondant informatique et libertés.

La data est au coeur de son métier: Nomination s'est donc attelée dès fin 2016 au chantier de mise en conformité avec le règlement européen sur la protection des données personnelles. Marie Eyraud, directrice de l'information, nous explique tous les détails de cette opération de longue haleine.

Livres Blancs

Voir tous les livres blancs

Vos prochains événements

Voir tous les événements

Voir tous les événements

S'abonner
au magazine
Se connecter
Retour haut de page