RGPD : Vérifier sa conformité en 10 points essentiels
Posté le 24 mai 2018 par PierreB
Au coeur des préoccupations depuis un certain temps, le Règlement général sur la protection des données entrera en vigueur ce vendredi 25 mai 2018. Ce nouveau texte de référence au sein de l’Union Européenne viendra uniformiser la législation numérique des données personnelles en remplaçant la loi Informatique & Libertés qui datent de plus de 40 ans. Son objectif est bien entendu de limiter les excès des GAFA mais cela concerne toutes les entreprises qui traitent des données personnelles, indépendamment de la taille de la structure. En cas de non-respect du RGPD, des amendes peuvent être encourues jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial total de l’exercice précédent. D’où la nécessité de bien vérifier sa conformité en 10 points essentiels de la RGPD.
1) Le RGPD est-il applicable au traitement des données ?
C’est évidemment la première question à se poser : Mon projet informatique constitue-t-il bien un traitement de données à caractère personnel ?
On rappelle qu’une donnée personnelle est une information qui permet d’identifier une personne physique, directement ou indirectement. Il peut s’agir d’un nom, d’une photographie, d’une adresse IP, d’un numéro de téléphone, d’un identifiant de connextion informatique, d’une adresse postale, d’une empreinte, d’un enregistrement vocal, d’un numéro de sécurité sociale, un mail, etc… Si vous êtes concernés par ce type de traitement de données alors vous êtes concernés par le RGPD.
2) Le principe de collecte loyale et proportionnée est-il bien respecté ?
a. Le principe de proportionnalité
Connaissez-vous le principe de proportionnalité ? Il peut se résumer grossièrement à cette phrase : « On peut faire tout ce que l’on veut avec les données dès lors que l’on ne va pas trop loin. » Ce principe doit être analysé au cas par cas suivant la structure, et il est nécessaire de trouver un bon équilibre.
Plus précisemment, ce principe est au coeur de l’article 5 de la RGPD, et évoque que les données à caractère personnel doivent être collectées pour des finalités (= ce à quoi sert un ficher) déterminées, explicites, et légitimes…adéquates, pertinentes, et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées. On parle de minimisation des données. Cela veut dire plus simplement que en tant que professionnel j’ai le droit de collecter autant de données que je souhaite dès lors que cette collecte de données reste pertinentes, proportionnés, adéquates et nécessaire au regard de la finalité poursuivi.
Prenons l’exemple d‘un système informatique de recrutement dans le cas de Silkhom. Nous collectons chez Silkhom des informations sur des personnes qui candidatent à un emploi (le parcours professionnel, la rémunération, le nom, l’adresse, etc…). Ceci est objectif et proptionnée car l’on traite des données totalement pertinentes, légitimes, adéquates, et limités à ce qui est nécessaire au regard de notre finalité, c’est à dire de recruter des candidats pour nos clients.
A contrario, si l’on recueille des données relatives à la nature physique du candidat comme les mensurations, la couleur des yeux, etc…, on sort du cadre objectif et cela devient alors disproportionné et donc non conforme au RGPD. Mais alors comment savoir si une information est proportionné ou non ?
C’est en fait au cas par cas puisque la loi ne donne aucune information à ce sujet. Il faudra alors s’appuyer sur des textes existants notamment sur le code du travail en matière de lutte contre les discriminations.
b. Le principe de collecte loyale et licite des données
Le principe de la collecte loyale et licite des données met en lumière le fait que lorsque je collecte des données sur une personne, celle-ci doit en être informée. Lorsque je collecte une donnée, je la collecte directement auprès de la personne concernée et par le biais de mentions d’informations qui vont préciser les conditions exactes dans lesquelles je vais utiliser ces données. La collecte indirecte (à l’insu d’une personne) est interdite et punie par la loi. Il faut toutefois savoir qu’il existe certaines exceptions de collectes indrectes tolérés par la régementation et la CNIL appelés « zones grises » comme la prospection commerciale, le parrainage ou encore la cooptation.
3) Le droit à l’oubli est-il respecté ?
Le principe du droit à l’oubli était déjà présent dans l’article 6,5° de loi Informatique & Libertés et sera renforcé avec l’article 5 du RGPD. Il stipule que tout traitement doit être limité dans le temps et il est obligatoire de déterminer une durée de conservation des données. Les données doivent être conservées sous une forme permettant l’identification des personnes concernées pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées. Les personnes concernées doivent être informées sur cette durée ou sur les critères permettant de déterminer cette durée.
Mais alors comment déterminer la durée de conservation des données ?
À vrai dire la durée de conservation est variable et dépend de la nature des données et des finalité poursuivies. Certaines durées sont recommandées par la CNIL et il sera donc judicieux de consulter la doctrine de la CNIL à ce sujet, la jurisprudence et les textes législatifs ou réglementaires applicables à certains cas spécisifiques. La CNIL recommande à titre d’exemple une durée de 1 mois pour la vidéosurveillance, une durée de 5 ans pour les données de paie, une durée de 3 ans pour les données relatives à un prospect, 10 ans pour les données médicales, et 2 ans pour les données liées au recrutement. Plus précisemement, il existe trois temps dans le cycle de vie des données à caractère personnel. On distingue donc plusieurs types d’archives :
- les « courantes » : données actives utilisés tous les jours
- les « intermédiaires » : archivage, conservation dossiers, pour pourvoir justifier d’un certain nombre d’obligations légales
- les « définitives » : fin de vie des données, suppression des données ou anonymisation des données, ou archivage à des fins archivistiques historiques par les services d’archives.
Vous retrouvez ces points dans la délibération n°2005-213 de la CNIL du 11 octobre 2005. Il faudra se poser la question de quand peut-on basculer d’un temps d’archive à un autre. Généralement, on peut garder nos archives intermédiaires pendant 10 ans pour pouvoir justifier de droits et d’obligations légales.
4) La sécurité des données est-elle assurée ?
Une politique de sécurité et de confidentialité des données est-elle définie ? Il s’agit ici de fournir toutes les preuves nécessaires à la bonne sécurité des données. Cela peut passer par l’installation d’un serveur entièrement sécurisé, par le cryptage ou le chiffrement des données, par le contrôle d’accès des utilisateurs, par des mesures de traçabilité, des mesures de protection des logiciels (antivirus, correctifs, maj…), ou encore par la sauvegarde des données. Il s’agira également de s’assurer que tous vos partenaires et sous-traitants respectent bien ce point également, car à défaut et en cas de problème, vous serez tenus pour responsable.
5) Y a t-il collecte de données particulièrement sensibles ?
L’article 9 du RGPD stipule que le traitement des données à caractère personnel qui révèle l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que la traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou la vie sexuelle ou l’orientation sexuelle d’une personnes physique sont interdits. Des exceptions peuvent être prévues lorsqu’une loie particulière va venir permettre la collecte de ces données sensibles, mais elles sont peu nombreuses. Si vous devez receuillir des données sensibles, il vous faudra alors le recueil du consentement de la personne si cette dernière vous a donné son accord express. Il faudra néamoins être prudent si vous êtes dans ce cas, car le recuil du consentement des personnes pour la collecte de données sensibles est une mission très risquée.
L’article 10 du RGPD stipule lui que le traitement des données à caractère personnel relatives aux condamnations pénales et aux infractions ne peut être effectué que sous le contrôle de l’autorité publique. Attention donc à bien respecter ce point même si des exceptions existent là encore en cas de gestion de contentieu.
On rappelle également que le numéro de sécurité sociale est une donnée sensible et que ces données ne peuvent donc être collectés qu’avec des précautions maximales.
6) Y a t-il transfert de données hors Union Européenne ?
Il s’agit ici de veiller aux transferts de données hors UE vis à vis de vos prestataires, partenaires ou sous-traitants, si vous en avez. Si oui, ceux-ci font-ils l’objet d’un encadrement juridique ? Il faut savoir qu’il y a là aussi des règles à respecter en fonction des différents pays de destination des données personnelles. Le site de la CNIL pourra vous informer sur ce point en fonction de votre contexte.
7) Le droit des personnes fichées est-il respecté ?
Des procédures sont-elles définies afin de respecter les droits des personnes fichées (suite, accès, portabilité, rectification, opposition, effacement, limitaton et consentement) ? Il s’agira ici de veiller attentivement au bon respect de tous ces droits.
Le droit à l’effacement
Stipulé par l’article 17 du RGPD, le droit à l’effacement est un droit pour une personne concernée d’obtenir dans les meilleurs délais l’effacement des données à caractère personnel la concernant. Cette personne peut demander l’effacement sans justifier pourquoi elle recourt à l’effacement. Le responsable de traitement devra lui justifier pourquoi il n’effacera pas cette donnée (donnée pertinente et proportionnée). Avant c’était l’inverse, la personne devait justifier au responsable de traitement pourquoi elle voulait supprimer ses données. Il existe quelques conditions qui justifie l’effcament des données :
- Les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées.
- Retrait du consentement qui fondait le traitement
- Données non conforme au RGPD notamment parce que la durée de conservation a expiré ou quand le personne exerce son droit d’opposition
- Données de mineurs de 16 ans collectées sur Internet
Cependant ces conditions connaissent des limites à savoir :
- Liberté d’expression et d’information
- L’existence d’une obligation légale de conserver
- Motif d’intérêt public dans le domaine de la santé
- Conservation à des fins archivistiques ou de recherche scientifique / à des fins historique ou statistiques (domaine de la recherche)
- Constatation, exercice doit à la défense ou droits en justice (quand la conservation de ces données est nécessaire à l’exercice ou la défense d’un droit en justice)
Le droit de suite
Il stipule l’obligation d’informer les tiers dès que les données ont été supprimés.
Transparence vis à vis du traitement des données
Il va permettre aux personnes d’être informées de ce que l’on fait de leurs données, comment, pourquoi, qui y a accès, où sont-elles traitées, par qui.
Droit d’accès à l’information
Les personnes fichées peuvent accéder à leurs données afin d’obtenir communication de toutes leurs données. Ils peuvent également faire rectifier des données erronées mais aussi s’opposer au traitement de leurs données et solliciter l’effacement de leurs données.
L’instauration de la portabilité des données
Il s’agit ici de récupérer dans un format adéquat les données communiquées à une plateforme afin de les transmettre à un concurrent. Ne sont concernées que les données fournies par la personne.
Le consentement
Le consentement est une base légale permettant de traiter des données personnelles. Il doit être : libre (possibilité d’accepter / refuser), spécifique (à un traitement), éclairé (après avoir été informé). Le consentement se manifeste par un acte positif clair et univoque. Par exemple: la case pré-cochée ou le silence ne sont pas valides.
8) Avez-vous des formalités à déclarer aurpès de la CNIL ?
Aujourd’hui, 90% des entreprises ne sont plus obligés de faire des déclarations à la CNIL. Il faudra alors s’assurer que vous ne faites pas parti des 10% restants.
De quoi s’agit-il ? Vous devez peut être dans certains cas rédiger des études d’impacts. Ce sont des études d’analyse des risques en matière de protection de données qui vont permettre de montrer que vous avez déjà porté une reflexion approfondie sur le sujet.
9) Avez-vous désigné un DPO (Data Protection Officer) ?
La désignation d’un délégué est obligatoire dans trois cas de figure, si :
- le traitement est réalisé par une entité publique ;
- la structure a une activité l’amenant « à réaliser un suivi régulier et systématique des personnes à grande échelle » ;
- la structure effectue un traitement impliquant des données sensibles ou liées à des condamnations pénales et infractions.
Dans le cas où l’organisation ne coche aucun de ces critères, alors il est facultatif de désigner un délégué. Toutefois, les autorités de protection européennes encouragent toutes les structures à désigner un délégué. Cela « permet en effet de confier à un expert l’identification et la coordination des actions à mener en matière de protection des données personnelles ».
10) Ma conformité est-elle documentée ?
Il s’agit ici de démontrer sa conformité. Une politique de documentation de la conformité est-elle mise en oeuvre ? Si oui, dans quelles conditions exactes ? Qu’est ce que je suis capable de donner comme preuve de ma conformité ? Ils existent plusieurs outils de la conformité.
La gouvernance arrive en premier lieu. Il s’agit de désigner les personnes en charge d’appliquer et de connaître la réglementation. Il est également judicieux de formaliser une matrice des responsabilités sur un fichier Excel. Qui fait quoi ? Informer les personnes, veiller à la sécurité des traitements, etc… Il faudra ensuite s’assurer que ces personnes disposent des connaissances nécessaires sur la législation. Si vous réalisez des traitements à risques, il faudra très certainement réaliser des études d’impacts comme mentionné en point 8). Pour terminer, il sera nécessaire de recueillir toutes les preuves de votre conformité grâce à plusieurs éléments :
- Tenue d’un registre pour décrire les activités de traitements sur un document
- Cartographie des activités de traitements : connaissances détaillée des traitements sur les systèmes, données, flux, prestataires, modalités de conservation/archivage, analyse de risque, contrats conclus
- Cartographie des risques (analyse de chaque traitement au regard des risques présentés pour l’individu, des codes couleurs identifie ceux qui présente plus de risques)
- Adhésion à des codes de conduites (pas encore d’actualité mais cela devrait arriver)
- Obtention de certifications (pas encore d’actualité mais cela devrait arriver)
En espérant que ces quelques points aient pu vous éclairer sur les attentes de la CNIL vis à vis de la nouvelle législation. Vous pouvez encore suivire une formation MOOC ici, particulièrement complète et très bien expliqué. Vous pouvez également retrouver les 6 étapes de préparation préconisés par la CNIL ici.
Et vous pouvez bien sûr consulter notre toute nouvelle politique de protection des données personnelles.
Source : CNIL, Numerama