Le RGPD, le nouveau Règlement Général sur la Protection des Données Personnelles est entré en vigueur le 25 mai 2018, malgré cela, certaines organisations qui ne commencent que maintenant la mise en conformité.
Si le contenu et les nouvelles obligations de la loi sont souvent évoqués, on parle moins souvent des implications pour les PME et surtout pour les plus modestes, qui doivent tout autant se mettre en conformité.
De quoi parle-t-on?
Le Règlement Général sur la Protection des Données Personnelles (GDPR en anglais) est un règlement européen (et non une directive) qui vise à protéger les personnes
physiques concernant l'utilisation de leurs données personnelles.
Il instaure de nouveaux droits pour les personnes, mais également, et c'est ce qui nous intéresse ici, de nouvelles obligations pour les entreprises et autres
organisations qui traitent des données personnelles.
On ne parle pas ici de petites modifications, mais de significatifs changements de paradigme qui vont obliger les entreprises à revoir complètement certains de leurs processus et intégrer la sécurité dans leurs usages.
Quelques une des nouveautés
1.Les sanctions (art. 83)
Les sanctions pour manquement ou violation du règlement, sont dissuasives, jusqu'à 20 000 000 EUR ou, dans le cas d'une entreprise, jusqu'à 4 % du chiffre d'affaires annuel mondial
2.Privacy by default (art. 25)
Le responsable du traitement met en œuvre, [...] des mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées.
Plus question de "ratisser large", lors de la collecte et des traitements, il faudra amender les processus en accord avec un principe analogue au "moindre privilège".
Réduire la collecte et les traitements au strict minimum sera désormais une obligation.
3.Consentement (art. 6)
Le recueil du consentement des utilisateurs est obligatoire avec des changements
de taille :
la personne concernée manifeste de façon libre, spécifique, éclairée et univoque.
Pas de consentement implicite donc, il sera à la charge de l'entreprise d'informer le client sur les données collectées, la finalité des traitements.
le responsable du traitement est en mesure de démontrer que la personne concernée a donné son consentement au traitement de données à caractère personnel la concernant.
Il sera donc également obligatoire de conserver une trace du consentement de l'utilisateur afin pouvoir en faire la preuve.
4.Portabilité des données (art. 20)
Toute personne aura désormais les droits de récupérer ou faire transférer dans un
format informatique interopérable l'ensemble de ses données personnelles.
5.Droit à l'oubli (art. 17)
Une personne physique pourra demander la suppression de toutes les données à caractère personnelles le concernant.
Il est donc nécessaire de pouvoir recouper à tout moment et sur l'ensemble des données, afin d'identifier et de supprimer l'ensemble des données de cette personne.
- Analyse d'impact (art. 35)
Dans certains cas, il sera nécessaire avant la mise en place d'un traitement de mener une analyse documentée des impacts sur la vie privée d'une violation de ces données par un tiers.
Par où commencer?
Concrètement, il est ici question d'un changement de paradigme complet, la logique déclarative devient une logique de responsabilité, d'accounting.
L'entreprise est tenue comptable de la mise en place des bonnes pratiques et outils, du respect des procédures et plus généralement de toutes les mesures visant à
protéger les données personnelles.
Les PME qui se lancent ou tentent de le faire ont parfois des difficultés à identifier les priorités, les acteurs et les moyens pour bien démarrer. Plutôt que de prétendre réinventer la roue, on se basera ici sur les conseils de la CNIL pour bien démarrer avec un focus sur les adaptations nécessaires pour les PME.
Nommer un pilote
Pour piloter la gouvernance des données personnelles de votre structure, vous aurez besoin d'un véritable chef d’orchestre qui exercera une mission d’information, de conseil et de contrôle en interne : le délégué à la protection des données.
Sur ce point, la CNIL conseille de nommer dès à présent un DPO ou à défaut un CIL en interne pour piloter le projet.
Dans les faits les petites PME n'ont que rarement une ressource interne capable d'assumer ce rôle, par manque de formation, de temps ou encore présence manifeste d'un conflit d’intérêt (spécialement vrai pour les petites structures).
Dans ce cas, notre conseil, retarder la nomination, mais pas le processus.
Mettez en place une équipe pluridisciplinaire pour piloter le projet, avec le temps, votre compréhension des enjeux vous permettra de déterminer la bonne approche :
- Ne pas nommer de DPO (dont la nomination n'est pas obligatoire)
- Nommer une personne en interne
- Sous-traiter la fonction à un prestataire extérieur.
Cartographier les traitements
Pour mesurer concrètement l’impact du règlement européen sur la protection des données de votre activité, commencez par recenser de façon précise les traitements de données personnelles que vous mettez en œuvre.
La tenue d'un registre des traitements vous permet de faire le point.
Réalisez un inventaire (qui se veut exhaustif) des traitements - informatisés ou non - et des types de données personnelles. Clairement une des tâches les plus ardues de la préparation, surtout compte tenu de la définition de traitement présentée dans l'article 4 :
la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction ;
Le concours de chacun (sous-traitants compris) sera clairement nécessaire ici afin de ne pas oublier un traitement important.
Prioriser les actions à mener
Après avoir identifié les traitements de données personnelles mis en œuvre au sein de votre organisme, vous devez, pour chacun d’eux, identifier les actions à mener pour vous conformer aux obligations actuelles et à venir.
Analysez les risques sur les personnes, les risques pour votre organisation, identifiez les actions et le temps nécessaire pour mettre en œuvre un plan d'action permettant la mise en conformité.
Priorisez les actions à réaliser en fonction de la criticité, du temps nécessaire, voire du budget en gardant une vision globale. Les mesures techniques et organisationnelles sont plus ou moins faciles à identifier
et quantifier, mais il sera également nécessaire de sensibiliser l'ensemble de vos collaborateurs et en former certains.
Attention, ne négligez pas les éventuels délais entre action et résultats, sur la formation interne par exemple, ou encore concernant les relations avec vos sous-traitants qui peuvent anéantir vos efforts pour tenir les délais.
Gérer les risques
Si vous avez identifié des traitements de données personnelles susceptibles d'engendrer des risques élevés pour les droits et libertés des personnes concernées, vous devrez mener, pour chacun de ces traitements, une étude d'impact sur la protection des données (en anglais, Privacy Impact Assessment ou PIA).
À ce stade, il est quasi impératif d'avoir nommé un(e) DPO, et/ou de se faire conseiller pour la réalisation.
Documenter la conformité
Pour prouver votre conformité au règlement, vous devez constituer et regrouper la documentation nécessaire. Les actions et documents réalisés à chaque étape doivent être réexaminés et actualisés régulièrement pour assurer une protection des données en continu. À ce stade, compilez les différents documents, traquer les incohérences, etc.
Gestion du risque et conformité
Une fois à ce point vous aurez accompli le plus important.
Cependant le chemin ne sera pas de tout repos pour les PME modestes et TPE, qui sont peu habituées à la GRC généralement plus présente chez les grands comptes.
Une des difficultés principales sera d'identifier des partenaires de confiance pour les accompagner, sur un sujet généralement peu traité dans ces structures.
Pourtant il est vital pour les petites et moyennes entreprises, de prendre les sujets cyber et RGPD à bras le corps.
Les sanctions tout d'abord, représentent un risque très sérieux pour votre entreprise, et quand bien même les montants annoncés sont des maximums qui ne seront certainement pas atteints dans un premier temps, la potentialité d'une sanction pécuniaire doublée d'un - plus problématique - arrêt obligatoire des traitements peu complètement ou partiellement entraver votre activité.
La lourdeur de la tâche ensuite est une des raisons principales de s'y atteler le plus tôt possible. Un retard à l'allumage vous fait courir un risque majeur et durable.
Ici, pas de moyen de se mettre en conformité sur un délai très court, la mise en mouvement est longue et compliquée.
Enfin, et pour citer une raison positive,la conformité peut vous amener un avantage concurrentiel sur le long terme face à des concurrents à la traîne, voire devenir une réelle valeur ajoutée dans un monde ou les utilisateurs deviennent de plus en plus suspicieux sur l'utilisation de leurs données personnelles.
Pour en savoir plus
Pour en apprendre plus sur le sujet, ou débuter, sachez qu'il existe de nombreux supports, blog, ou articles sur le sujet.
La CNIL, produit également du contenu sur le sujet.
Nous dispensons également des formations et des sensibilisations pour bien démarrer sur le sujet.