RGPD : comment se mettre en conformité ?

RGPD : comment se mettre en conformité ?

Guide à l’usage des indépendants et TPE

Le RGPD c’est le Règlement Général de la Protection des Données.

Le RGPD date du 27 avril 2016 et a été officiellement mis en application le 25 mai 2018, faisant évoluer la loi “Informatique et Liberté” du 6 janvier 1978, dans une nouvelle mouture datant du 1er juin 2019, comportant “notamment les dispositions relatives aux « marges de manœuvre nationales » autorisées par le Règlement général sur la protection des données que le législateur a choisi d’exercer ainsi que les mesures de transposition en droit français de la Directive « police-justice ».” (Source CNIL). 

Ce règlement concerne principalement les entreprises, association, et institutions publiques ou privées. 

Le but est de protéger le citoyen et le consommateur dans ses échanges avec les organisations et/ou lors de l’utilisation de services ou produits connectés. 

Le principe repose sur la responsabilisation des acteurs. Chaque entité, chaque succursale, doit tenir à jour un registre des traitements effectués (Article 30 du RGPD). Pour les co-traitants ou les sous-traitants, un second registre spécifique est obligatoire : il contiendra l’ensemble des traitements que vous ferez pour le compte de vos clients. Ce registre doit être mis à jour régulièrement en fonction de l’évolution des pratiques dans l’entreprise. 

Pour cela, il doit y avoir une personne responsable du traitement (RT) qui doit être en mesure de démontrer que le traitement est effectué en conformité au RGPD, en tenant compte de la nature, de la portée, du contexte et des finalités du traitement, ainsi que des risques et du degré de probabilité d’une atteinte aux droits des personnes. (Article du 24 RGPD). 

Les données personnelles sont divisées en trois catégories

  • les données autorisées de traitement (Article 4 du RGPD), et inscrites au registre,
  • les données sensibles : notamment les données médicales, nécessitent un accord préalable de la CNIL, ainsi qu’une analyse d’impact et des mesures de protection renforcées (Art 35 RGPD),
  • les données interdites de traitement (Article 9 du RGPD). 

Concernant les données d’infractions (Art 10 du RGPD) : “Le traitement des données à caractère personnel relatives aux condamnations pénales et aux infractions ne peut être effectué que sous le contrôle de l’autorité publique.”

Les données doivent être :

  • traitées de manière licite, loyale et transparente. 
  • adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités.
  • exactes et, si nécessaire, tenues à jour.
  • conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités.
  • traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées (intégrité et confidentialité).

Les finalités de la collecte de données doivent être explicites et légitimes, adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (Article 5 du RGPD). 

Le responsable du traitement doit impérativement mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque de perte, de vol ou de dégradation des données personnelles (Article 32 du RGPD). Cela sous entend la mise en place de moyens de contrôle des accès (physiques et/ou logiciels), de protection matériels et logiciels, d’audit réguliers, de sauvegarde et de reconstitution des données en cas de perte ou de vol. 

Le DPD/DPO est obligatoire dans les cas suivants (Article 37 du RGPD) : 

  • le traitement est effectué par une autorité publique ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle;
  • les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées; ou
  • les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données visées à l’article 9 et de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10.

Cela signifie que bon nombre d’entreprises travaillant dans le e-commerce ou le dropshipping peuvent être amenées à avoir un DPD/DPO

Les entreprises qui en ressentent le besoin parce qu’elles n’arrivent pas à se mettre en conformité, que ce soit d’un point de vue juridique, comme d’un point de vue technique, peuvent aussi faire appel à un Délégué à la protection des données. 

Dès la connaissance du sinistre, le responsable du traitement doit avertir la CNIL et la personne concernée, et au plus tard dans les 72 heures de la survenance.

Le rapport d’incident doit préciser : 

  • la nature de la violation de données à caractère personnel y compris, si possible, des catégories et du nombre approximatif de personnes concernées par la violation et des catégories et du nombre approximatif d’enregistrements de données à caractère personnel concernés
  • les mesures prises ou que le responsable du traitement propose de prendre (dont, par exemple, le chiffrement des bases de données).

Les risques d’être sanctionné par la CNIL sont faibles dans la mesure où elle a peu de moyens pour contrôler. La sanction pourra atteindre 20 millions d’euros ou 4% du CA mondial d’une entreprise.

En revanche les risques judiciaires sont plus importants : procédure aux prudhommes d’un salarié, plainte d’un client….

Le risque pénal peut être de 5 ans d’emprisonnement et 1 500 000 euros d’amendes.

Le risque civil pourra se composer des dommages intérêts à verser à la victime associé ou non à l’interdiction d’utiliser un fichier. 

Il peut aussi être question de remise en cause d’un partenariat ou d’une sous-traitance pour non conformité. C’est notamment le cas actuellement avec les administrations ou avec les entreprises qui sous-traitent avec le milieu médical ou le nucléaire. Ceci aboutit à une perte de marchés et éventuellement à des licenciements. 

A partir de janvier 2020, l’ensemble des sites web, des applications, des matériels, devront respecter le privacy by design, c’est-à-dire la prise en compte de la protection de la vie privée dès la conception de l’outil, du site, de l’appareil. Cela signifie que l’ensemble de la gestion de la confidentialité des données devra être transparente pour l’utilisateur, qu’elle devra respecter son anonymat sans que l’utilisateur ait la moindre démarche à effectuer. Exemple : WhatsApp qui a installé le chiffrement de bout en bout par défaut dans son App. 

Le RGPD dans l’entreprise

Le RGPD concerne l’ensemble des éléments traités par une entreprise, à tous les niveaux : 

  • Ressources humaines,
  • Commercial,
  • Achats,
  • Partenariats,
  • Réseau d’entreprises,
  • Informatique,
  • etc…

Vous trouverez dans cet article quelques cas concrets de risques à analyser.

Etablir un état des lieux

Se poser les questions : 

  • Quelles sont les données personnelles que possède l’entreprise à cet instant T ? 
  • Ont-elle été recueillies avec le consentement des intéressés ?
  • Peut-on prouver ce consentement ? Par quel moyen ?

Il faut considérer les données personnelles comme des flux et, pour chaque donnée, se poser les questions : 

  • S’agit-il d’une information habituelle, sensible, interdite ?
  • Qui collecte cette information ? 
  • Auprès de qui ?
  • Dans quel(s) but(s) ? 
  • Qui, dans l’entreprise, aura besoin de cette information ? Pour quel(s) traitement(s) ? Et quelle(s) finalité(s) ? 
  • Comment cette information est-elle collectée ? Comment la preuve du consentement est-elle gérée ? 
  • Combien de temps est-il nécessaire de conserver cette information ? 
  • Avec quelle(s) méthode(s) de conservation ? Avec quel niveau de sécurité ?
  • Cette information fera-t-elle l’objet d’un archivage ? Au bout de combien de temps ? Pour quelle durée ? 
  • Comment sera-t-elle portabilisée ? 
  • Comment sera-t-elle détruite en fin de cycle (ou à la demande de l’intéressé(e)) ? 

En cas de traitement avec des personnes (physiques ou morales) extérieures à l’entreprise, pour chaque co-traitant, il faudra également s’interroger : 

  • Comment cette information sera-t-elle partagée avec des personnes extérieures à l’entreprise ?
  • Pour quel(s) traitement(s) ? Et quelle(s) finalité(s) ? 
  • Existe-t-il un contrat entre l’entreprise et le co-traitant ? 
  • Le co-traitant est-il en conformité avec le RGPD ?
  • Pendant combien de temps va-t-il conserver l’information ? 
  • Avec quelle(s) méthode(s) de conservation ? Avec quel niveau de sécurité ?
  • Cette information fera-t-elle l’objet d’un archivage ? Au bout de combien de temps ? Pour quelle durée ?
  • Comment sera-t-elle portabilisée ? 
  • Comment sera-t-elle détruite en fin de cycle (ou à la demande de l’intéressé(e)) ? 

Il est à noter que les procédés informatisés ne sont pas les seuls concernés. Les documents papier le sont également, dès lors qu’on peut identifier un individu.

Ainsi, une simple carte de visite, dès lors qu’elle contient un nom et un prénom, ou un numéro de mobile est un document contenant des données personnelles. 

Vous pouvez vous aider avec la Check-list pour préparer votre mise en conformité : https://www.haas-avocats.com/nos-competences/avocat-rgpd-reglement-europeen-sur-la-protection-des-donnees-ce-qui-va-changer-pour-les-entreprises-publiques-et-privees/

Réaliser le registre de traitement de son entreprise

Une fois que vous avez répondu à toutes ces questions, vous devez synthétiser l’information au sein du Registre des traitements qui récapitulera l’ensemble des activités de traitement de votre entreprise impliquant le traitement de données personnelles. Par exemple : gestion de la relation client, gestion de la relation avec les fournisseurs, gestion des ressources humaines de l’entreprise, gestion de la production…

Pour chaque activité recensée, vous devrez créer une fiche portant le nom de cette activité, par exemple gestion de la relation client. Vous y indiquerez : 

  • la Date de création de la fiche
  • la Date de dernière mise à jour de la fiche
  • le Nom du responsable conjoint du traitement (dans le cas où la responsabilité de ce traitement de donnée est partagée avec un autre organisme)
  • le Nom du logiciel ou de l’application (si pertinent)

puis les objectifs poursuivis, par exemple : 

  • Passation de contrats
  • Gestion de contrats 
  • Exécution et suivi
  • Traitement des réclamations
  • Exécution des obligations légales, réglementaires et administratives

ensuite vous listez :

  • les différents types de personnes dont vous collectez ou utilisez les données, par exemple : prospects et clients
  • les différentes données traitées, avec une description , par exemple : nom, prénom, adresse, téléphone mobile, et une durée maximale de conservation, par exemple : 3 ans à compter de la fin de la relation contractuelle. 

Vous devez indiquer si vous traitez des données sensibles, et si la réponse est oui, vous devez indiquer lesquelles ( l’origine prétendument raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale des personnes, des données génétiques et biométriques, des données concernant la santé, la vie sexuelle ou l’orientation sexuelle des personnes, des données relatives aux condamnations pénales ou aux infractions, ainsi que du numéro d’identification national unique ). ATTENTION : ces données sensibles doivent faire l’objet d’une analyse d’impact et d’un traitement sécurisé spécifique. 

Vous devez également indiquer l’entité ou le service de chaque destinataire des données au sein de votre entreprise, par exemple : Caisse, SAV, Comptabilité, Direction Informatique.

Si des organismes externes (sous-traitants ou co-traitants) sont susceptibles d’avoir accès à ces données les indiquer aussi. 

Si les données personnelles sont transmises hors UE, il faut non seulement indiquer le pays, mais aussi vérifier qu’il y a bien une décision d’adéquation de la Commission Européenne, à défaut il faut impérativement consulter la CNIL. 

Vous devez indiquer les mesures de sécurité organisationnelles et techniques prévues pour préserver la confidentialité des données, par exemple : contrôle d’accès des utilisateurs, mesures de protections des logiciels (antivirus, mises à jour et correctifs de sécurité, tests…), sauvegarde régulière des données, chiffrement des données, anonymisation de certaines données, contrôle des co-traitants et des sous-traitants….

Vous trouverez ici un modèle simplifié de Registre des traitements, bien adapté aux indépendants et aux professions libérales non-réglementées.

Par ailleurs, la CNIL a créé une fiche RH : FICHE 3 : Protégez les données de vos collaborateurs

Enfin, le CNRS a édité un modèle d’engagement de confidentialité à faire signer par les salariés

Le RGPD sur le site web

Comme nous l’avons vu, plus haut, à partir de janvier 2020, l’ensemble des sites web, des applications, des matériels, devront respecter le privacy by design, c’est-à-dire la prise en compte de la protection de la vie privée dès la conception de l’outil, du site, de l’appareil. La CNIL indique que : “En application de la directive européenne dite ” paquet télécom “, les internautes doivent être informés et donner leur consentement préalablement à l’insertion de traceurs. Ils doivent disposer d’une possibilité de choisir de ne pas être tracés lorsqu’ils visitent un site ou utilisent une application. Les éditeurs ont donc l’obligation de solliciter au préalable le consentement des utilisateurs. Ce consentement est valable 13 mois maximum. Certains traceurs sont cependant dispensés du recueil de ce consentement.”

La gestion des cookies

Le consentement doit se manifester par une action positive de la personne préalablement informée des conséquences de son choix et disposant des moyens de l’exercer. Des systèmes adaptés doivent donc être mis en place pour recueillir le consentement selon des modalités pratiques qui permettent aux internautes de bénéficier de solutions conviviales et ergonomiques.

  • Tant que la personne n’a pas donné son consentement, ces cookies ne peuvent être déposés ou lus sur son terminal.
  • Il doit être requis à chaque fois qu’une nouvelle finalité vient s’ajouter aux finalités initialement prévues.

Le bandeau de cookies doit être visible dès l’ouverture du site. Son positionnement dans la fenêtre de navigation n’a pas d’importance à partir du moment où il est lisible et compréhensible. 

Voici le modèle fourni par la CNIL : 

Bandeau de cookies 1

La seconde étape peut, selon l’exemple de la CNIL, se matérialiser sur l’écran de l’utilisateur de la façon suivante :

Bandeau RGPD 2

ATTENTION : Le fait de visiter la page “en savoir plus” ne vaut pas consentement au dépôt de cookies.

Le consentement à être suivi peut être oublié par les personnes qui l’ont manifesté à un instant donné, la CNIL estime nécessaire de limiter dans le temps la portée de ce dernier.

  • Elle recommande que le délai de validité du consentement au dépôt des Cookies soit porté à 13 mois au maximum. À l’expiration de ce délai, le consentement devra être à nouveau recueilli. 
  • En conséquence, les cookies doivent donc avoir une durée de vie limitée à treize mois après leur premier dépôt dans l’équipement terminal de l’utilisateur (faisant suite à l’expression du consentement)

Enfin, la simple poursuite de la navigation sur un site ne peut plus être regardée comme une expression valide du consentement au dépôt de cookies. Et les opérateurs qui exploitent des traceurs doivent être en mesure de prouver qu’ils ont bien recueilli le consentement. Délibération n° 2019-093 du 4 juillet 2019 portant adoption de lignes directrices relatives à l’application de l’article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture ou écriture dans le terminal d’un utilisateur (rectificatif)

Les formulaires de collecte de données à caractère personnel

Rappelons qu’une adresse e-mail nominative (avec un prénom ou une initiale et un nom) est une donnée personnelle. Seules les adresses génériques (telle que contact@mon-entreprise.fr ou nom-du-service@mon-entreprise.fr) ne nécessite pas de consentement. 

Donc, sur le formulaire, si vous ne voulez pas faire apparaître toutes les mentions, vous pouvez mettre un texte et un lien. 

Exemple : 

Rôle du Responsable des traitements RGPD

Par contre, votre politique de confidentialité devra inclure un chapitre relatif à cette collecte de données.

RGPD : Traitement des informations recueillies

Si vous avez plusieurs formulaires différents avec des finalités différentes (ex : inscription à la newsletter, sondage, enquête de satisfaction client), il faudra tous les lister dans votre politique de confidentialité. 

La politique de confidentialité

Modèle de politique de traitement des données personnelles : https://idroit.co/2018/05/25/rgpd-modele-de-politique-de-traitement-des-donnees-personnelles-conforme-au-rgpd-politique-de-confidentialite-privacy-policy/

La CNIL et la BPI ont édité 2 fiches :

FICHE 1 : Votre entreprise communique et/ou vend en ligne 

FICHE 2 : Améliorez et maîtrisez votre relation client

Par ailleurs toutes les mesures de sécurité organisationnelles et techniques pour préserver la confidentialité des données devront être mises en place. 

 

Formateur, webmaster, référenceur et coach à | Site Web

Formateur en communication digitale
Créatrice et référenceur de sites WordPress
Photographe Google Street View Trusted

Laisser un commentaire