Règlement général sur la protection des données

1.1 Présentation de la RGPD :
Historique, texte de référence européen, contexte légal auparavant.

Le Règlement général sur la protection des données est en fait discuté depuis de nombreuses années. Le parlement européen a passé 4 ans rien qu’en négociations. Il a été adopté par ce même parlement le 14 avril 2016 mais il est applicable obligatoirement depuis le 25 mai 2018. Ils ont d’ailleurs bien fait de prévoir ce délai de mise en conformité parce que le règlement tel qu’il était sorti était tout simplement inapplicable. Aujourd’hui ce règlement a été allégé et devient moins contraignant. Il n’en reste pas moins une étape lourde et obligatoire pour les PME et TPE.
Ce nouveau règlement s’inscrit dans la continuité de la loi française « informatique et liberté » du 6 janvier 1978. Il s’agit de la loi qui avait permis la création de la CNIL. On commençait à peine à s’intéresser à la protection des données.

Pourquoi le RGPD n’est ni une loi ni une directive ? Il s’agit d’un règlement parce que les règlements n’impliquent pas que les états membres adoptent une loi de transposition pour être applicables. C’est pour cette raison que nos députés français n’ont pas eu à voter cette loi.
Concrètement, ce règlement harmonise toutes les règles de protection des données en Europe. Mais pour s’entendre sur un règlement unique à 28 états membres, il a fallu clarifier la définition d’une donnée personnelle. Et c’est important de bien comprendre cette notion parce que c’est en posant ce diagnostic que vous allez savoir si oui ou non vous devez intégrer certaines données dans votre dossier RGPD.

1.2 Qu’est-ce qu’une donnée personnelle ?

La définition exacte donnée par le règlement est « Toute information se rapportant à une personne physique identifiée ou identifiable » en l’état, ça ne veut strictement rien dire. On peut déterminer qu’une personne est identifiée quand la donnée est directe (le nom, le prénom, le surnom …) ou quand elle est indirecte (une photo, une donnée biométrique, …)
On peut déterminer qu’une personne est identifiable lorsqu’une seule donnée permet de l’identifier (une adresse mail, un numéro de sécurité sociale … ou à partir d’un croisement de données). Plus concrètement, nous allons déterminer qu’à partir du moment où on peut remonter à une personne physique, il s’agira d’une donnée personnelle et donc qu’il faudra agir à votre niveau pour que cette donnée soit conforme au règlement.

1.3 Quels sont les 4 avantages du RGPD pour votre entreprise

– Renforcer la confiance de vos clients et partenaires : une relation de confiance

Un client dont vous vous préoccupez de la sécurité des données personnelles est un client dont vous allez accroitre le potentiel de confiance. Cela peut être l’élément déterminant dans le processus qui le conduira à acheter votre produit. Une relation de confiance conduit à une certaine forme de fidélité, cela professionnalise votre entreprise et donne l’envie au client de partager son expérience une fois qu’elle est terminée.

– Améliorer l’efficacité commerciale : des bases saines, à jour et légales et mieux gérer l’information dans l’entreprise :

Tout le monde possède dans un PC un listing à moitié pourri, qu’on met 15 minutes à trouver, et dont on ne sait plus d’où il vient. En termes d’efficacité le RGPD force les entreprises à assainir l’organisation de la donnée dans l’entreprise. On le verra plus tard mais rapidement, vous allez devoir faire un audit de toute la donnée que vous allez collecter. Vous aller devoir ranger cette compilation au même endroit ou en fonction de leur degré de sensibilité, numérique ou papier. Mais l’essentiel est que ces données seront transparentes et rangées. Vous gagnerez en efficacité commerciale parce que vous ne vous poserez plus la question de savoir si vous avez le droit de l’utiliser, vous saurez rapidement où c’est et fini les listings périmés avec de fausses adresses.

– Améliorer la sécurité des données de votre entreprise : logiciels et équipement de protection

Le RGPD va aussi vous obliger à maintenir un niveau de sécurité optimal dans votre entreprise. Il existe un volet très important dans le règlement sur la sécurité et sur de nouvelles obligations légales en matière d’information. Si on prend le cas des grandes entreprises, elles sont maintenant l’obligation de déclarer dès qu’ils ont été les victimes d’un piratage de données. Elles doivent établir un rapport précis sur les données volées, les conséquences directes, informer également tous les utilisateurs victimes du vol et mettre en place une solution rapide, efficace et durable pour corriger le problème de sécurité. J’ai pris l’exemple d’une grande entreprise mais en réalité cette obligation concerne tout le monde. Le vol de données reste très fréquent dans les PME ou TPE, parfois des anciens employés partent avec les listings. La mise en place efficace du RGPD dans votre entreprise vous protège de ce genre de pratique parce que l’information est désormais traçable.

Un exemple récent puisqu’il date de juin dernier. L’entreprise de taille intermédiaire Sergic, spécialisée dans la promotion immobilière emploie 486 personnes et réalise un chiffre d’affaire de 43 millions d’euros. Un utilisateur a déposé une plainte depuis la nouvelle plateforme de la CNIL. Il se trouve que le site de l’entreprise proposait de déposer des fichiers comme des avis d’imposition, des copies de cartes vitales et toute autre sorte de documents privés. Ces documents étaient accessibles en entrant un nom d’utilisateur et un mot de passe et les utilisateurs étaient redirigés vers leur espace de document. Sauf qu’en changeant l’URL en haut du navigateur on pouvait avoir accès à l’espace de tout le monde. Résultat : condamnation de 400 000 euros pour cette entreprise, en plus du préjudice financier indéniable vous avez une entreprise qui perdu la confiance de ses clients.

1.4 Qui est concerné ?

C’est une question importante dont la précision de la réponse est trop souvent négligée. Pourtant la réponse est très simple. « Tout organisme quel que soit sa taille, son pays d’implantation et son activité, peut être concerné ». Les organisations qu’elles soient publiques, privées, que vous soyez sous-traitant, association, syndicat, entreprise ou organisme public. A partir du moment où vous avez dans votre structure de la donnée, alors vous êtes concernés. J’entends encore souvent des toutes petites entreprises, familiales ou unipersonnelles qui pensent que la taille de leur structure les protège ou rendrait les organismes de contrôle plus cléments. Ce n’est pas le cas, en effet on le verra plus tard, l’appréciation de la capacité financière rentre en compte dans le montant de la pénalité, mais ce n’est pas une protection !

1.5 Objectifs et Enjeux

L’objectif est simple, il faut que toutes les structures soient capables dès aujourd’hui de justifier sur plusieurs critères la détention d’informations personnelles de clients, prospects, fournisseurs. La structure doit être capable de maitriser le cycle de vie des données et de transmettre ses informations sur simple demande. En réalité ça va un peu plus loin aujourd’hui que de donner l’accès à l’information de collecte. L’entreprise doit être en mesure de rendre possible le « droit à l’oubli » sur demande. Cela veut dire concrètement que si une personne fait partie de vos listings, sur une simple demande (qui peut prendre différentes formes) vous êtes dans l’obligation de supprimer toutes les données la concernant. Et je ne parle pas décocher la personne dans votre logiciel de GRC, je parle bien de supprimer purement et simplement toutes les informations qui concernent cette personne. Le RGPD s’inscrit dans une logique de concession. En réalité, la mise en place de ce règlement dans votre structure est longue, pénible et franchement ce n’est pas intéressant. En contrepartie la CNIL ne vous demande plus de faire une déclaration à chaque fois que vous avez un nouveau listing. L’enjeu de ce règlement c’est de faire en sorte que les entreprises se responsabilisent un peu plus en suivant un cahier des charges plus soutenu, mais au quotidien elles seront moins soumises aux obligations du passé. Et comme on l’a vu précédemment, finalement, c’est du temps investi dans votre entreprise parce que vous allez gagner en efficacité commerciale.

2.1 Risques : A quoi je m’expose ?

Si vous ne respectez pas toutes les prérogatives imposées par ce règlement vous vous exposez à des sanctions. L’année dernière quand j’ai fait cette présentation, il y avait 8 contrôleurs pour tout le pays. En fin d’année ils ont recruté, on ne sait pas combien ils sont aujourd’hui, mais ça contrôle considérablement depuis quelques mois. Rien qu’en 2018 on parle de 310 contrôles, avant les recrutements. Avant d’arriver à la sanction finale, il y a toute une procédure que je vais vous expliquer.

  • Origine du dossier :

Tout d’abord la sanction peut avoir 3 origines : La plainte d’usagers à travers le site de la CNIL, des contrôles inopinés (on parle d’autosaisine) ou une violation avérée de données. Le président de la CNIL désigne un rapporteur et saisit la formation restreinte.

  • Le contrôle :

Il peut se faire : Sur place avec accès intégral aux traitements des données (à l’issue un PV est dressé) En ligne si les manquements sont visibles à distance (à l’issue un PV est dressé) Sur convocation avec audition des acteurs concernés (à l’issue un PV est dressé) ou un Contrôle sur pièce avec des questions écrites et demande de document (il n’y a pas PV). Si le contrôle aboutit sur « pas ou peu d’observations » le dossier est clôturé. S’il y a un manquement sérieux, la présidente peut prononcer une mise en demeure. Si le problème se règle alors clôture du dossier. Sinon sanction ! 

  • Avant la séance :

Le rapporteur présente son rapport et prononce une des mesures prévues dans le règlement et notifie l’organisme. L’entreprise ou son conseil peut proposer des observations écrites sur un délai de 1 mois. Le rapporteur a 15 jours pour répondre aux observations. L’entreprise peut à nouveau présenter de nouvelles observations sous 15 jours

  • La séance de formation restreinte :

Elle est composée du rapporteur, de la formation restreinte + un commissaire du gouvernement et de l’entreprise et/ou son conseil (convocation au moins 1 mois avant). A partir de là il est décidé s’il y a sanction ou non. S’il y a sanction il va être décidé du caractère public ou non public de la décision puis s’il s’agit d’une sanction pécuniaire (max 4% du CA ou de 20 millions) ou d’une sanction non pécuniaire (un rapport à l’ordre ou une injonction sous astreinte).

Astuce en cas de contrôle : Là on passe en mode vous ne notez pas. Si jamais un jour vous avez un contrôle et que la CNIL tape à votre porte. La plupart du temps ils ne demandent pas l’autorisation de visite par le juge. Dans ce cas vous pouvez vous opposer au contrôle vous leur dites de revenir avec une autorisation du juge. Et là vous avez le temps de vous mettre en conformité avant qu’ils reviennent. Cependant s’ils ont une autorisation vous avez l’obligation de les laisser faire le contrôle, l’entrave est punie de 15 000 euros d’amende.

3.1 Comment me mettre en conformité :

Là on rentre dans le vif du sujet, vous avez compris l’intérêt vous avez de vous mettre en conformité, maintenant on va voir comment le faire.

La première étape, si vous êtes dans une structure avec plusieurs collaborateurs, c’est de désigner un pilote RGPD, ça peut être le chef d’entreprise ou n’importe qui. Sa désignation pour les TPE et PME n’est pas obligatoire mais très fortement conseillée. Je déconseille de faire appel à des stagiaires pour cette charge nouvelle dans un souci de continuité et de connaissance du fonctionnement de l’entreprise ça ne sera pas efficace.

Son rôle est simple, il devra informer et conseiller les employés de la société sur les pratiques à adopter. A lui ensuite de mettre en place les solutions adaptées a tel type de situation. Il est là aussi pour contrôler le respect du règlement. Je prends un exemple, en réunion de service ou d’équipe, le responsable commercial annonce que pour Noël il compte mettre en place un jeu concours avec une récolte de données personnelles (nom, prénom, adresse mail …) Le pilote dans son rôle doit alerter ses collègues sur l’obligation d’ajouter ce nouveau recueil de données au dossier RGPD de l’entreprise ainsi que sur l’obligation de mentionner clairement les nouvelles obligations légales en amont de la collecte, nous verrons plus tard quelles sont ces obligations. Le pilote doit également pouvoir aller voir ses collaborateurs et leur expliquer que tous les fichiers contenant des données personnelles doivent lui être signalés afin de réaliser un inventaire des données. Au quotidien, le pilote doit s’assurer de la conformité en continu.

3.2 Cartographier vos traitements de données, un travail préparatoire indispensable

Afin de faciliter les démarches qui vont suivre et la constitution du dossier RGPD de votre organisme, le plus simple est de catégoriser de manière méthodologie les traitements que vous faites. Ce travail est réalisé par le pilote référent de la structure. Il doit identifier partout dans l’entreprise où la donnée personnelle existe et il doit répondre aux 6 questions afin qualifier sa donnée.

Qui : Qui traite ces données dans l’entreprise
Quoi : Quel type de données, quel risque
Pourquoi : Finalité de la donnée
 : Où et comment sont hébergées les données
Jusqu’à quand : temps de conservation
Comment : Garanti de la sécurité de la donnée

3.3 Quels documents vais-je devoir produire avec ce règlement ?

De manière générale, tous les documents que vous devez produire doivent comporter le nom, les coordonnées de votre organisme ainsi que le nom de votre référent pilote.

– Le ou les registres des activités de traitement

Il s’agit du document le plus important, normalement il n’y en a qu’un à renseigner, sauf si vous êtes le sous-traitant d’une entreprise, dans ce cas vous devrez renseigner autant de registres que d’entreprises pour lesquelles vous êtes sous-traitant.

Concrètement ce document est un ensemble de fiches registre qui correspondent à un traitement.
Une fiche registre doit comporter OBLIGATOIREMENT :

– Le nom et cordonnées du responsable conjoint du traitement (le responsable marketing par exemple)
– Les finalités du traitement (autrement dit l’objectif de cette collecte de données)
– Les catégories de personnes concernées (un client ? Un prospect ? Un employé ?)
– Les catégories de données personnelles (identité, situation familiale, économique, financière, données bancaires, données de connexion, données de localisation etc …)
– Catégorie de destinataires (qui dans l’entreprise aura la gestion de ces données)
– Les délais prévus pour l’effacement
– Dans la mesure du possible, une description générale des mesures de sécurité (technique, organisationnelles …)

Bonne nouvelle, la CNIL s’est rendu compte qu’il était absolument impossible pour une petite entreprise de faire face à ce travail titanesque rendu obligatoire. Une dérogation a donc été apportée pour les organismes de moins de 250 salariés. Seuls certains traitements sont désormais obligatoires.

  • Les traitements non occasionnels
  • Les traitements susceptibles de comporter un risque pour les droits et libertés des personnes (systèmes de géolocalisation, vidéoprotection …)
  • Les données sensibles (données de santé, infractions etc …)

Ce qui réduit considérablement la charge de travail pour mettre en place le RGPD dans votre entreprise, donc plus d’excuse pour ne pas le faire.

Autre document obligatoire à produire, le document qui priorise les actions que vous allez mener, un contrôleur RGPD sait pertinemment que PERSONNE n’est en mesure d’appliquer ce règlement à 100%. En revanche ils sont très sensibles à la volonté de faire le maximum et de façon cohérente. Je vous encourage à produire un document qui listera les actions que vous allez mener dans un futur proche, avec des échéances. Par exemple, vous avez commencé à remplir les activités de traitement pour une partie « réservation » de votre structure (traitement non occasionnel puisque vous collectez les données clients chaque année dans le but de leur proposer l’an prochain une action commerciale) mais vous n’avez pas encore saisi toute la partie RH de votre structure, vous conservez quelque part les données de vos employés, leur adresse, leur numéro de téléphone. Tout ceci est non occasionnel, donc vous devez saisir une fiche à cet égard. Ça sera peut-être votre prochain traitement à remplir dans votre dossier RGPD, alors notez-le et indiquez quand vous pensez que cela sera prêt. Les contrôleurs sont plus cléments avec ceux qui ont identifiés leur carence en matière de saisie.

Il faut aussi un document qui faire état des risques que vous avez ou que vous allez gérer. Vous avez peut-être été victime l’an passé d’un employé qui est parti avec vos base de données client. Il faut l’indiquer, et si l’incident est récent, apporter des informations complémentaires comme le mail que vous avez envoyé aux clients les informant qu’une personne mal intentionnée utilise leurs données. Si vous êtes au courant d’un risque mais qu’il n’est pas encore résolu, indiquez-le et renseignez quand le problème sera résolu (changement de site internet, appel à un prestataire pour régler le problème, en attente d’un audit de sécurité).

Un autre document capital, celui qui fait état de vos procédures internes en cas de violations des données. Il existe des procédures type mais je vous conseille de personnaliser ce document. Il ne doit pas nécessairement expliquer comment procéder pour chaque type de données. Vous pouvez y renseigner une procédure type comme : On avertit immédiatement les victimes concernées, on signale le problème à la CNIL, on résout le problème, si informatique contacter le référent ou le prestataire. Puis on avertit une seconde fois les victimes en essayant d’expliquer que le problème a été circonscrit et vous pouvez leur donner une marche à suivre pour sécuriser ces données, changement de leurs mots de passe ou se désinscrire.

Enfin, dernier document à produire, le plus simple, sur une feuille libre indiquez que vous avez mis en conformité votre organisme. Je vous conseille de le réaliser à la façon d’un tableau de bord. Avec tout ce que vous avez apporté à votre dossier. Puis conclure par le fait que vous êtes en conformité avec le règlement européen.

4.1 Informer tous les individus dont vous collectez les données dans votre entreprise

Le travail qui vient après la constitution du dossier est celui de d’avertir les utilisateurs dont vous collectez les données. J’ai identifié 4 types d’usagers qu’il faut impérativement avertir.

Vos salariés : il faut dans la mesure du possible ajouter une close dans un avenant à leur contrat stipulant que vous conservez le temps de la durée de leur contrat (voire +) des données les concernant. Les adresses, leur informations bancaires, numéros de téléphone, situation familiale etc … L’avenant est une possibilité mais le règlement n’est pas très précis, certaines entreprises privilégient le règlement intérieur ou la note interne. Le règlement ne fait mention que de l’obligation de perception d’un consentement de l’employé. Attention toutefois certaines données très sensibles comme la vidéosurveillance doivent être mentionnées dans un avenant ou dans une note de service et l’employé doit être reçu individuellement lors de sa mise en place. Le document RGPD n’exempt pas l’employeur de ses obligations légales.

Vos anciens clients : Vous devez les prévenir par l’envoi d’un courrier ou d’un email que vous conservez leurs données dans le respect des durées légales (tableau disponible) mais il faut leur indiquer la possibilité de modifier ou supprimer une partie des leurs données.

Vos fournisseurs : ils bénéficient des mêmes droits que les clients à partir du moment ou un fichier de données les concernant existe. Il faudra donc également les informer de leurs droits.

Vos nouveaux clients et prospects : Il faudra leur envoyer un courrier ou un email pour les informer comme les anciens, mais il faudra également indiquer ce que vous comptez faire de leurs données.

4.2 Assurer la transparence lors de la collecte

Dans quel cas et quand dois-je informer ?

En cas de collecte directe : vous avez recueilli des données vous-même à travers un formulaire, lors de la souscription d’un contrat, etc … Vous devez informer au moment de la collecte. Attention au moment de la collecte c’est VRAIMENT au moment de la collecte, on ne prend pas les adresses mails des prospects puis on leur écrit en rentrant au bureau. Attention également à bien mentionner clairement qu’ils consentent à ce que vous utilisiez leurs données.

En cas de collecte indirecte : vous avez acheté une base de données : Vous avez un délai d’un mois pour prévenir les personnes concernées

4.3 Quelles informations dois-je envoyer ?

Lorsque vous contactez un client pour l’informer de la conservation de leurs données vous devez déclarer :

  • Identité et les coordonnées de votre organisme (si possible avec le resp. du traitement)
  • La finalité du recueil des données (à quoi vont-elles servir, mailing, SMS, newsletter …)
  • Le caractère obligatoire du recueil (besoin de contacter les clients en cas d’annulation …)
  • Les destinataires des données (clients, prestataires, prospects …)
  • La durée de conservation des données (où les critères permettant de la déterminer)
  • Les droits des personnes concernées (oppositions, accès, modification, suppression …)

4.4 Sous quelle forme dois-je envoyer ces avertissements ?

La loi n’est pas très précise sur la forme, elle indique juste :
« de façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples ». Il faudra mettre l’accent sur : un vocabulaire simple, adapter l’information au public visé, être concis, Le plus simple sera d’envoyer un mail groupé en veillant à cacher les autres destinataires lors de l’envoi.

5.1 l’AIPD – Data Protection Impact Assessment

L’article 35 du RGPD prévoir la conduite d’une analyse d’impact relative à la protection des données. Il s’agit avant tout d’un document qui permet se concentrer sur les traitements des données personnelles successibles d’engendrer un risque élevé pour les droits et libertés des personnes concernées.

Par chance, ici personne n’est concerné par la mise en place d’un tel document, il s’agira principalement des très grosses entreprises qui manipulent des données personnelles sensibles et qui automatise la collecte à grande échelle.

5.2 Rgpd sur mon site internet ?

– Vous devez obligatoirement avoir une page « politique de confidentialité » (il existe des modèles et même des générateurs pour ces contenus
– Un « footer » qui pointe vers cette page
– Sur chaque formulaire demander le consentement, la case de doit pas être pré-cochée, pensez à renvoyez aussi sur la page politique de confidentialité pour plus d’informations
– Si votre site utilise les cookies, il faudra prévoir un bandeau pour demander le consentement lorsque l’internaute arrive sur votre site

– Un moyen de contact pour que les personnes puissent exercer leurs droits par voie électronique
– Des mentions légales pour identifier l’éditeur du site.

Translate »
sem, felis Praesent luctus et, Curabitur dolor.