RGPD : Règlement Général sur Protection des Données

Le RGPD (ou GDPR) est le Règlement Général sur la Protection des Données, une nouvelle réglementation européenne qui entrera en vigueur le 25 mai 2018. Cette nouvelle loi a différents objectifs :

  1. Renforcer les droits des personnes ;
  2. Responsabiliser les acteurs traitant des données;
  3. Crédibiliser la régulation.

C’est pour cela que RGPD-conformite.com, spécialiste de la gestion des données personnelles vous propose de tout savoir sur cette nouvelle réforme qui devra être mise en place par toutes les entreprises.

Ce qu’en dit la CNIL

Le RGPD est en place, mais vous n'êtes pas en conformité ?

En principe, vous serez sanctionné si vous n’êtes pas en conformité après le 25 mai…

Le 25 mai est passé et vous n’avez pas encore terminé votre mise en conformité ? Sachez que vous êtes maintenant amendable. Et votre situation est pire si vous venez à peine de commencer votre processus de mise en conformité. Pour rappel, le RGPD est « obligatoire dans tous ses éléments et directement applicable dans tout État membre » de l’UE. Et puisqu’il s’agit en réalité d’un règlement, sa mise en application ne nécessite aucune législation de transposition.

…SAUF si vous êtes de bonne foi

Avouons-le, le RGPD est difficile d’application. Il impose de nombreuses obligations amenant les entreprises à revoir en profondeur leur organisation surtout au niveau du traitement des données. C’est en partie pour cette raison que les autorités ont donnée beaucoup de temps (2 ans) aux entreprises pour s’y préparer.

S’il est vrai que vous pouvez être sanctionné en raison de votre non-conformité au RGPD après le 25 mai, la CNIL peut cependant ne pas prononcer des actions à votre encontre. Ce sera le cas si :

  • Vous réussissez à prouver que vous avez entamé les démarches nécessaires de mise en conformité : suivi d’une formation au RGPD, désignation d’un DPO, établissement du registre des traitements, mise en place de mesures correctives pour optimiser la protection des données, élaboration d’un plan d’actions… ;
  • Vous prenez au sérieux les défaillances de l’organisation juridique et technique de votre entreprise en matière de protection des données ;

Bref, vous montrez votre bonne foi et votre bonne volonté à vous conformer au RGPD. Tout cela joue en votre faveur auprès de la CNIL et favorise la diminution des risques de sanctions. Cependant, vous n’aurez droit à cette « faveur » que si vous ne faites aucune ‘victime’ en cas de fuite de données.

La conformité, un but vers lequel il faut tendre

L’une des plus grandes particularités du RGPD c’est qu’il met en avant la responsabilisation de l’entreprise. Il a également été conçu de manière à s’adapter à l’apparition de nouvelles technologies et de nouvelles pratiques. Dans une certaine mesure, il fait de la conformité un but vers lequel il faut tendre. Il oblige à revoir régulièrement l’organisation des mesures de protection des données. En quelque sorte, une démarche ‘qualité’.

RGPD et RH

L’importance de l’information

Au moment où un salarié accepte de travailler au sein d’une entreprise, il a certainement donné son consentement pour que l’entreprise puisse utiliser ses données personnelles à diverses fins. Et bien, le RGPD obligera les entreprises à informer de manière claire leurs salariés sur l’utilisation de leurs données. Cela pourra être réalisé par exemple par l’insertion d’une clause d’information sur leurs droits dans leur contrat de travail.

En outre, les entreprises devront donner à leurs collaborateurs la possibilité de de donner ou de retirer à tout moment leur consentement quant à l’usage de leur image (trombinoscope d’entreprise).

Conservation des données

Dans le cadre du RGPD comme de la loi Informatique et libertés, les entreprises n’ont le droit de conserver les données de leur personnel que tant qu’elles en ont besoin. Ainsi, on devra archiver les données des collaborateurs lmors de leurs départ puis les supprimer après la durée de prescription légale.

Pour se conformer au RGPD, les entreprises devront également mettre en place un système de gestion des données qui permet de centraliser toutes les informations sur les collaborateurs et offrant la possibilité de supprimer définitivement les données qui ne sont plus utiles : par exemple la copie ou l’attestation de carte vitale après embauche.

L’obligation d’information et finalité stricte du traitement des données

Les entreprises devront informer leurs collaborateurs sur l’usage qu’elles feront des données de ces derniers. Et en vertu du RGPD, les entreprises ne sont pas autorisées à utiliser les données de leurs collaborateurs à des fins autres que celles prévues initialement ni des les diffuser à des destinataires non habilités sans leur consentement (ex : Instances représentatives du personnel).

L’obligation de notification en cas de violation des données

Une des raisons qui ont conduit le législateur européen à mettre en place le RGPD est la lutte contre le piratage et les cyberattaques. Mais surtout, le législateur a voulu forcer les entreprises à mettre en place des mesures de sécurité plus efficaces pour prévenir ce type d’attaque. Ainsi, en cas de violation de données, les entreprises sont désormais obligées de notifier la personne concernée, en l’occurrence le salarié, au plus tard 72 heures après la découverte de la violation.

Minimisation des données

Le RGPD n’interdit pas la vérification des antécédents judiciaires si cela s’impose (accès à des emplois sensibles). Cette vérification ne doit cependant pas être systématique. Seules les données nécessaires doivent être collectées.

La tenue d’un registre des traitements des données personnelles dans le cadre du RGPD

Généralisation de l’obligation de tenir un registre

Contexte

L’existence d’un registre de traitement n’est pas une nouveauté. Déjà au temps de la loi informatique et liberté, il fallait tenir un registre pour les traitements exonérés de déclaration auprès de la CNIL. La tenue du registre était à la charge du correspondant informatique et libertés. Ce dernier se basait sur les informations données par le responsable du traitement pour tenir son registre.

Le RGPD oblige les responsables du traitement et les sous-traitants de tenir un registre des traitements. Avant, les sous-traitants n’étaient pas soumis à cette obligation. Cette généralisation de l’obligation de tenir un registre des traitements est l’une des applications majeures du principe d’accountability. Pour rappel, ce dernier impose de prendre les mesures internes nécessaires pour optimiser la protection des données et faciliter l’apport de preuve en cas de contrôle ou en cas de litige devant un tribunal.

Avantages

Contrairement à ce que l’on pourrait penser, la généralisation de l’obligation de tenir un registre des traitements ne va pas rendre la vie difficile aux organismes qui y sont soumis. Certes, cela va grandement faciliter les contrôles effectués par la CNIL. Mais cette généralisation va également profiter aux responsables et aux sous-traitants puisqu’ils pourront appliquer de manière plus efficace et plus éclairée les règles contenues dans le RGPD.

Et pour cause, avec un registre bien tenu, il sera plus aisé d’avoir une vue d’ensemble des activités de traitements menées. Il sera d’autant plus facile de découvrir les éventuels écarts à la loi : destination des données, catégories des données, caractères, finalités…

Mais l’acteur qui profite le plus de cette généralisation de l’obligation de tenir un registre est sans aucun doute les personnes concernées par les traitements. Dans une large mesure, l’extension de l’obligation de tenir un registre des traitements offre une garantie plus importante que leurs données seront manipulées dans le respect de leurs droits et bénéficieront d’une protection encore plus accrue.

Les organismes qui doivent tenir un registre des traitements

Toutes entreprises et les administrations qui emploient plus de 250 personnes sont concernées par cette obligation.
Mais celles qui emploient moins de 250 personnes ne sont pas totalement étrangères à cette obligation. Elles devront également tenir un registre des traitements si leurs traitements portent sur des données sensibles (informations relatives à des condamnations ou à des infractions) ou sont susceptibles de présenter un grand risque pour les droits et libertés individuelles.
Notez que l’absence de désignation d’un délégué à la protection des données ne dispense pas de l’obligation de tenir un registre.

Peut-on communiquer un registre aux tiers ?

Jusqu’à ce jour, la loi n’est pas encore claire sur ce point. En temps normal, le registre doit être présenté à la CNIL quand cette dernière en fait la demande. Et si l’on se réfère à l’esprit du RGPD (principe de transparence), il n’y a, à première vue, aucune raison qui pourrait justifier le refus de communiquer un registre aux tiers. Il pourra donc être communiqué à tout moment à toute personne qui en fait la demande.

Contenu d’un registre

Le RPGD ne dresse pas une liste exhaustive des informations qui devraient figurer sur un registre. Mais au minimum, ce dernier devrait contenir les informations suivantes :

  • Le nom du responsable du traitement ou de son représentant, le cas échéant, le nom du DPO ;
  • Les finalités du traitement ;
  • Les différentes catégories de données traitées ;
  • Les personnes concernées par le traitement ;
  • Les destinataires des données ;
  • Les délais prévus de destruction des données,
  • La description des mesures de sécurité à mettre en place pour protéger les données ;
  • Les garanties de sécurité supplémentaires pour les cas de transfert de données à l’international ;

Tenir un registre complet suffit-il pour être en conformité avec le RGPD ?

Il faut le dire, la seule tenue du registre ne suffit pas pour satisfaire aux nouvelles normes imposées par le RGPD. En plus, il faut mener des analyses d’impact sur les traitements portant sur les données sensibles, offrir des garanties d’encadrement pour les transferts de données hors de l’UE et mettre en place une procédure garantissant une meilleure protection des données des personnes fichées. Enfin, les contrats avec les fournisseurs doivent être actualisés et prendre en considération les nouvelles règles sur la protection des données.

Quelques conseils pour tenir un registre

Pour maintenir la conformité d’un registre, il faut être méthodique. Voici quelques points à revoir pour se faciliter la tenue d’un registre en conformité dans le temps :

  • Faire le point sur toutes les procédures liées à la protection des données personnelles ;
  • Désigner la personne chargée de la tenue et affecter des moyens financiers et humains adaptés ;
  • Informer tout le personnel dont l’activité pourrait impacter sur la tenue du registre des nouvelles règlementations en vigueur ;
  • Définir et catégoriser chaque type de traitement ;
  • Désigner un responsable du traitement ;
  • Identifier les données qui ont été transférées hors de l’UE ;
  • Faire une remontée régulière des informations ;
  • Élaborer une trame de registre pour indiquer la finalité des traitements (un modèle élaboré par la CNIL est disponible) ;
  • Revoir régulièrement le système de protection (opération effectuée conjointement par la direction des systèmes d’information et le responsable du traitement).

Comment aborder le RGPD avec vos employés ?

Sensibiliser son personnel au RGPD, pourquoi ?

D’emblée, il faut savoir que la formation du personnel au RGPD devrait être l’une des préoccupations majeures pour toute entreprise souhaitant se conformer au RGPD. Une raison principale explique cela. Sans un personnel formé, les risques d’enfreindre les nouvelles règlementations seront plus grands d’autant plus que le RGPD vient modifier profondément le monde de la protection des données. Pour s’y conformer, il faudra souvent passer par une révision complète de la politique de confidentialité ou encore une révision de l’organisation interne pour limiter les risques de corruption des données.

Des formations en ligne pour faire des économies

Bon nombre d’entreprises rechignent à former l’ensemble de leur personnel au RGPD en raison du coût important que cela représente. Il est plus facile de laisser les managers s’assurer du respect des exigences liées au RGPD par le personnel. Sachez pourtant que ni l’une ni l’autre de ces solutions n’apportera jamais l’efficacité résultant de la formation de tout un personnel tant en termes de sécurisation des données que de respect de la loi. La solution la plus économique pour former l’ensemble du personnel reste à ce jour le recours aux formations en ligne.

Informez vos employés au nouveau règlement sur la protection des données en les inscrivant à notre formation en ligne pour sensibilisation du personnel au RGPD

Si vous avez besoin d’informations sur le RGPD,  nous mettons à votre disposition ses conseillers ainsi que de nombreux supports médiatiques pour vous aider. Nous vous accompagnons tout au long du processus de mise en conformité.

RGPD et e-mail marketing, ce qui va changer en 2018

RGPD : une plus grande importance donnée au consentement

L’une des plus grandes nouveautés apportées par le RGPD est la grande importance donnée au consentement. Pratiquement, les règles à suivre pour l’obtention et l’utilisation des données personnelles ont été durcies. Les agences marketing ne pourront plus se servir des adresses mails et autres informations personnelles obtenues sans le consentement de leur propriétaire. Cela va mettre fin à une pratique longtemps critiquée, l’opt-in passif, et ouvrir la voie à une pratique beaucoup plus respectueuse du consentement, le double opt-in.

La fin de l’opt-in passif

Le RGPD met fin à l’opt-in passif et à toute autre ruse utilisée par les marketeurs pour obtenir le consentement de l’internaute. Pour rappel, la méthode de l’opt-in-passif consiste à précocher la case « Je souhaite recevoir vos offres par email » située tout en bas des formulaires. L’internaute dans ce cas précis ne saura même pas qu’il a « donné »son consentement.

L’avènement du double opt-in

Le double opt-in est une méthode d’obtention du consentement répondant aux exigences du RGPD puisqu’elle permet d’obtenir 2 fois le consentement de l’internaute. Il s’agit également de faire savoir à l’internaute la portée de son consentement. C’est pourquoi les termes utilisés dans le formulaire d’abonnement doivent être clairs et précis. Ensuite, le respect du consentement s’exprime aussi par la possibilité donnée aux internautes de se désabonner facilement (bouton de désabonnement bien visible). Enfin, le RGPD impose aux entreprises de toujours garder une trace du consentement et de concevoir un processus offrant la possibilité à ses contacts de modifier ou de supprimer leurs données.

Email marketing version RGPD

Avec le RGPD, l’utilisation des données personnelles pour les campagnes d’email marketing se fera avec plus de vigilance. En amont de la campagne, divers éléments doivent être pris en compte.

Faire une analyse de la base de contacts

Dorénavant, la première chose à faire avant de lancer une compagne d’email marketing sera de faire une analyse de la base de contacts. Le but ici est de :

  • Savoir précisément la source des contacts et pour quel type de campagnes ces derniers ont donné leur consentement ;
  • Vérifier s’il existe des preuves du consentement de chaque contact et si ces preuves peuvent être utilisées devant une juridiction ;
  • Vérifier si l’on a plus eu recours à l’opt-in passif ou à l’opt-out ;

Transparence des méthodes de collecte et de leur utilisation

L’importance donnée au consentement dans le RGPD est telle, qu’en 2018 les entreprises devront rendre public les méthodes qu’elles utilisent pour collecter des données, mais surtout, elles devront préciser les finalités des données collectées (ce qu’elles vont en faire). Avant de mener une campagne d’email marketing, il faudra donc revoir la politique de confidentialité.

Et pour les contacts existants ?

Une mauvaise nouvelle ! Si vous ne pouvez pas prouver que le consentement de vos contacts actuels a été donné de manière libre et réfléchit, il ne sera plus possible d’envoyer des mails marketing à partir du 25 mai 2018.

Le profilage : autorisé, mais sous certaines conditions

Aujourd’hui le profilage basé sur l’utilisation d’algorithmes prédictifs ne peut être dissocié du Big Data. Grâce au profilage, il devient plus facile de prédire le comportement, les achats, les préférences, et dans certains cas, le déplacement d’une personne. Avec le RGPD, le profilage n’est pas interdit, mais strictement encadré et voici les principales nouveautés :

  • Le profilage non associé à un processus purement automatisé, c’est-à-dire associé à une intervention humaine reste possible, mais doit respecter les principes généraux posés par le RGPD : intérêt légitime, droit à l’information, finalité précise, transparence ;
  • Les processus de décision entièrement basés sur des traitements automatisés (ou accompagnés d’une intervention humaine insignifiante) susceptibles de produire des effets juridiques sont pratiquement interdits, sauf pour les exceptions prévues par l’art 22 du RGPD : consentement explicite, condition nécessaire à la conclusion ou à l’exécution du contrat… ;
  • Toute personne faisant l’objet d’un profilage doit être notifiée. De plus, on doit lui donner la possibilité de se désabonner à tout moment.
  • Le profilage des enfants est strictement interdit

Pour résumer, le profilage doit se faire dans le respect des droits des personnes qui y sont soumis : droit à l’oubli, droit à l’information, droit de disposer librement de ses données, droit de portabilité, droit d’objecter, droit d’arrêter (désabonnement)…

Ce qu’il faut retenir…

  • Avec le RGPD, les règles s’appliquant à la collecte et à l’utilisation des données sont plus strictes, finis les astuces pas nettes pour « subtiliser le consentement » ;
  • Tout doit se faire dans la transparence : informer les internautes du sort de leurs données personnelles ;
  • Les consommateurs reprendront leurs droits sur leurs données personnelles. Ils ont le droit d’exiger la suppression ou la modification de leur donnée, et ce, à tout moment ;
  • La preuve est très importante. Il faudra prouver le consentement de l’internaute, sans quoi on s’expose à des sanctions relativement sévères.

Notifier une violation des données personnelles

Notifier des violations de données personnelles à la CNIL : les changements apportés par le RGPD

Avant, l’obligation de notifier la CNIL en cas de violation de données à caractère personnel était prévue par l’art 34 bis de la loi 78-17 du 6 janvier 1978. Le même article affirmait que cette obligation ne concerne que les fournisseurs de communications électroniques au public (fournisseur d’accès internet, opérateurs téléphonique). Ce n’est plus le cas dans le RGPD.
A partir du mai 2018, cette obligation de notification s’appliquera à tous les responsables du traitement (art. 33 du RGPD). On entend ici par responsable du traitement : tout organisme qui détermine les finalités et les moyens du traitement (art. 4 -7 du RGPD).

Violation de données personnelles, quand ?

Il est donc acquis que lorsqu’une violation de données personnelles survient, il faut en informer la CNIL. Il faut toutefois noter que diverses conditions doivent être réunies pour qu’il y ait vraiment violation :

  • Vous avez effectivement réalisé un traitement de données personnelles (collecte, enregistrement, conservation, communication, transfert…
  • Il y a une violation : perte, altération, divulgation, destruction… La violation peut être d’origine volontaire ou accidentelle ;
  • La violation est survenu durant la réalisation de votre activité ;

Comment notifier la CNIL ?

En cas de violation, il faut notifier la CNIL dans les plus brefs délais, au plus tard 72 heures après avoir pris connaissance de la violation. Si l’on dépasse ce délai, il faut informer la CNIL des raisons du retard.
En ce qui concerne la notification proprement dite, plusieurs informations doivent être transmises à la CNIL :

  • La nature de la violation, et si faisable, le nombre de personnes concernées ;
  • Le nom du délégué à la protection des données (DPO) ;
  • Les problèmes que peuvent entrainer la violation des données ;
  • Les mesures prises par le responsable du traitement pour remédier à la violation, le cas échéant, des mesures d’atténuation.

Exception à la règle de la notification

Il existe une exception à la règle de notification en cas de violation des données personnelles. La notification est inutile si la ou les violations ne sont pas susceptibles d’engendrer un risque pour les droits et libertés. La notification n’est également pas obligatoire si les données sont impossibles à lire (données fortement chiffrées).

Le devoir de notifier les personnes concernées

D’après l’article 34 du RGPD, en cas de violations de données personnelles il faut également notifier les personnes concernées (les propriétaires des données), surtout si les violations présentent un risque élevé pour les droits et libertés.

Il faut suivre les recommandations de la CNIL pour la rédaction de la notification (simple, claire et précise). Dans tous les cas, si l’on ne remplit pas les obligations imposées par le RGPD en cas de violation de données personnelles, la CNIL peut exiger le suivi de la règlementation, avec des sanctions financières à l’appui de sa demande. 

Fermer le menu
×
×

Panier