Règlement général sur la protection des données personnelles : Petit guide pour les entreprises

  • #Architecture d'entreprise & applicative
  • #Devops, Sécurité, Infra Cloud
  • #Communication/marketing/performances commerciales
  • #Conformité (Accessibilité, RGPD…)

Publié le Mis à jour le Par

Le 25 mai 2018, un règlement général sur la protection des données personnelles (RGPD) sera mis en œuvre en Europe.

Cette nouvelle application permettra d’harmoniser la législation sur la protection des données parmi les membres de l’Union Européenne (UE) et déterminera les droits de tous les consommateurs dans l’UE.

Les clients seront en mesure de demander « Quelles données avez-vous sur moi ? » à chaque entité juridique exerçant dans l’UE ou ayant un seul client établi dans l’Union Européenne.

Ainsi, les entreprises devront être en mesure d’extraire ces informations.

Toutefois, elles pourront décider de limiter l’application de cette mesure de protection des données à leur filiale européenne.

Aujourd’hui, certains gouvernements locaux et entreprises sont déjà en mouvement pour cette prochaine réglementation.

C’est un engagement à long terme (et non une précaution ponctuelle) qui impactera les systèmes d’informations des entreprises à plusieurs niveaux.

NOTION SUR LA PROTECTION DES DONNÉES

QUELLE EST LA DEFINITION DES DONNÉES PERSONNELLES ?

Selon la loi, une donnée personnelle signifie :

Toute information concernant une personne physique identifiée ou identifiable, directement ou indirectement, notamment par référence à un numéro d’identification (par exemple : le numéro de sécurité sociale) ou un ou plusieurs facteurs spécifiques à son identité physique, physiologique, psychique, économique, culturelle ou sociale (par exemple : nom et prénom, date de naissance, la biométrie les données, les empreintes digitales, ADN …). Donnée personnelle: définition, CNIL

La définition est large, mais elle implique que le RGPD est applicable si et seulement si la donnée est établie comme personnelle. Dans le cas contraire, si les données sont confirmées « anonymes » la réglementation ne s’applique pas.

PAR Où COMMENCER ?

Cela commence par identifier et documenter le type de données que vous possédez.

C’est un long processus qui devrait être pris en charge dès maintenant.

Pendant l’inventaire de vos données (recueillies et à recueillir),  il est important de savoir :

Où les gardez-vous ?

  • Externalisé ou intériorisée
  • nuage, copies papier, serveur, Saas …
  • Europe, Etats Unis, Asie …

Quel type de données possédez-vous ?

  • Personnel,
  • public,
  • nominatif,
  • sensible …

Comment les avez-vous recueillies ?

  • Auto-déclarées par le consommateur,
  • comportementales,
  • ouvertes …

Pourquoi les avez-vous recueillies ?

  • Pour fournir des services et des offres adaptées,
  • à des fins statistiques,
  • faire de la publicité …

Comment allez-vous les utiliser ?

  • Commercialisation
  • commercial
  • à des fins administratives

Combien de temps allez-vous les garder ?

  • Quelques semaines
  • quelques mois
  • quelques années …

Qui peut y accéder ?

  • Tout le monde
  • le responsable du traitement ou le sous-traitant
  • personne.

Une fois identifié, il est crucial de partager le « pourquoi » et « comment » de votre démarche à vos clients. Rassurez-les sur le « quoi » et le « où », le type de données et leur lieu de stockage.

Confidentialité par Design ou Privacy by Design signifie que chaque nouveau service ou processus d’affaires qui utilisent les données personnelles doit prendre la protection de ces données en considération. Une organisation doit être en mesure de démontrer qu’elle a une sécurité adéquate en place et que son respect est surveillé. Dans la pratique, cela signifie que le service informatique doit prendre en compte la vie privée pendant tout le cycle de vie du développement du système ou d’un processus.

Confidentialité par Défaut ou Privacy by Default  signifie simplement que les paramètres les plus stricts de confidentialité s’appliquent automatiquement une fois qu’un client achète un nouveau produit ou service. En d’autres termes, aucune modification manuelle des paramètres de confidentialité doit être requise de la part de l’utilisateur. Il y a aussi un élément temporel de ce principe. Les renseignements personnels doivent, par défaut, être conservés uniquement durant le temps nécessaire pour fournir le produit ou service. « Protection des données par conception et par défaut, Règlement sur la protection des données de l’UE”

TRAITEMENT DES DONNÉES PERSONNELLES

Le traitement des données concerne tous types de transferts ou de transformations des données personnelles. Ainsi, le responsable du traitement et le sous-traitant des données sont tous les deux soumis à la réglementation générale de la protection des données (art.4 (2)).

Le responsable du traitement représente l’entité qui détermine le but et les moyens du traitement des données personnelles (art.4 (7)).

Le sous-traitant représente l’entité qui traite des données personnelles au nom du responsable (art.4 (8)).

En d’autres termes, le premier sélectionne les données nécessaires tandis que le second suit les lignes directrices pour les recueillir. Une fois que le RGPD sera mis en œuvre, la responsabilité sera partagée entre ces deux parties. Assurez-vous alors que tout sous-traitant avec qui vous travaillez suit correctement l’évaluation du RGPD (effacement, accessibilité, stockage, …) ou vous pouvez vous retrouver dans une situation de  « violation de données à caractère personnel » (art.4 (12)).

ATTENTION AUX DONNÉES SENSIBLES

Méfiez-vous des données sensibles (banque, santé, …). Si votre entreprise utilise ce type de données à grande échelle, vous aurez alors besoin d’un délégué à la protection des données, externe ou interne à votre entreprise. Cet officier est là pour conseiller, informer et contrôler le respect de la protection des données.

De nombreux pays de l’UE disposent déjà d’une législation en place pour qualifier la nature des données sensibles et la façon de les recueillir, de les stocker et de les récupérer à partir d’une base de données certifiée et sécurisée.

LE CONSENTEMENT EST ROI

Le « consentement » de la personne concernée est toute manifestation de volonté, libre, spécifique, éclairée et univoque par un acte positif clair (Art.4(11)).

Le client doit être pleinement conscient et voir les informations précises sur toutes les questions pertinentes suivantes :

  • la nature des données traitées ;
  • les raisons du traitement ;
  • l’identité du responsable de traitement ;
  • l’identité de tout autre destinataire des données.

Cette information doit être explicite, sans équivoque, facile à trouver et mise en évidence avant de collecter des données personnelles.

Le client doit comprendre l’essence de votre activité.

La mise en œuvre de cette règle du consentement est une preuve valable de votre engagement à la réglementation de la protection des données. Le non-respect de cette exigence vous mettra dans une situation de non-conformité.

Pour en savoir plus sur le consentement (en anglais)

BRÈCHE DE SÉCURITÉ : ÉVALUER LA SITUATION

QUAND ET COMMENT SE CONSIDÉRER EN VIOLATION SELON LE RGPD ?

Vous êtes considéré en infraction dès lors que la sécurité des données est compromise. C’est-à-dire une destruction accidentelle ou illicite, la perte, l’altération, la divulgation non autorisée, ou l’accès à des données personnelles transmises, stockées ou autrement transformées Art.4(12).

En d’autres termes, dès que les données personnelles sont compromises en raison d’un échec de la sécurité, vous êtes en infraction.

COMMENT VOUS PRÉPARER ?

  • Formez vos équipes, sensibiliser les sur la protection des données.
  • Prouvez les démarches faites dans le sens de la réglementation de la protection des données générales.
  • Vérifiez le consentement du client à tous les niveaux.
  • Connaissez votre RGPD.
  • Apprenez à identifier une brèche pour éviter des pénalités élevées.

PÉNALITÉS

Les sanctions comprennent, entre autre, une forme pécuniaire.

Le montant dépend de la façon dont vous avez géré la situation. Cette pénalité peut aller jusqu’à 4% du chiffre d’affaires mondial de l’entreprise.

Trois critères entrent en considération lorsqu’une pénalité est impliquée :

  • le temps mis à gérer la situation, en particulier le temps mis pour « boucher » la brèche ;
  • l’étendue de la brèche de sécurité ;
  • la notification à l’autorité compétente du RGPD.

Voilà pourquoi il est important de savoir où vous gardez et stockez les données personnelles. Cela vous met en mesure d’extraire ou d’effacer rapidement ces informations.

Le contrôle de vos données est l’un des meilleurs moyens de prouver votre engagement envers le RGPD.

COMMENT SE GÈRENT LES INFRACTIONS DE DONNÉES ?

Il y a minimum deux actions importantes à entreprendre en cas de brèche de sécurité :

  • informer dans les 72 heures l’autorité compétente de protection des données après avoir identifié la violation de données ;
  • avertissez vos clients. Cela est nécessaire si l’infraction est susceptible de causer un dommage sur leurs droits et libertés.

DROIT à L’OUBLI ET CONTRÔLE DES DONNÉES

Qu’est-ce que cela implique ?

  • La demande des clients aux responsables de traitement pour effacer les données qu’ils détiennent à leur sujet.
  • L’exercice de ce droit n’est possible que dans certaines circonstances : les fins pour lesquelles les données ont été recueillies cessent d’exister, ou les données personnelles ne sont pas plus pertinentes qu’aux fins, etc.
  • Les clients seront en mesure de gérer leurs données plus facilement grâce à la portabilité des données. Remarque, sur ce sujet, l’article 20 «droit à la portabilité des données» ne mentionne pas un effacement automatique des données suite à l’utilisation du droit de la portabilité. De plus, l’utilisateur peut très bien utiliser plusieurs fois ces données pour aller voir différents responsables de traitement. Néanmoins rien ne l’empêche d’utiliser son droit d’effacer (article 17 «droit à l’oubli») s’il le souhaite, une fois qu’il a récupéré son information.

COMMENT POUVEZ-VOUS PROUVER VOTRE ENGAGEMENT AU RGPD ?

De ce fait, la mise en œuvre du RGPD sera plus facile si toutes les informations sur les clients sont enregistrées dans une seule base de données mise à disposition pour les différents systèmes qui traitent les données des clients. Cela facilitera particulièrement :

  • le consentement et la preuve du consentement,
  • la limitation des fins de traitement,
  • le droit à l’effacement et droit à l’oubli,
  • le droit à la portabilité des données,
  • les mesures prises pour éclairer l’information pour les consommateurs,
  • les mesures de sécurité techniques et organisationnelles pour automatiser les décisions.

Rappelez-vous, si un consommateur vous le demande, tous les renseignements doivent être remis simplement et rendus accessibles facilement.

POUR RÉSUMER

Si votre entreprise à tout type d’activité dans l’UE ou même un utilisateur dans l’UE, vous devez suivre les règlements généraux de protection des données.

Préparez-vous pour 2018 en faisant maintenant des études de mises en œuvre, automatisez les process, agissez rapidement avec les autorités compétentes pour être dans les meilleures conditions lors de l’application du RGPD en 2018. La souplesse est votre objectif, mais celle-ci ne devrait pas impliquer un fardeau pour votre entreprise.

Enfin, pendant la mise en œuvre, les exigences légales (autres que le RGPD) doivent être reconnues et exécutées en fonction du pays membre de l’UE dans lequel vous vous trouvez.

Trois éléments clés à retenir :

  • Prouver son engagement pour la réglementation générale sur la protection des données personnelles ;
  • Obtenir le consentement et la preuve du consentement ;
  • Effacer instantanément les données personnelles quand demandé.

  • Conseil

  • RGPD

  • Sécurité