Compte-Rendu Atelier d'information

Vous voulez mieux protéger la vie privée de vos clients ?

Sécurité des données personnelles : le (nouveau) mode d'emploi

A l'approche de l'entrée en vigueur du RGPD, Règlement européen pour la Protection des Données, Captive a voulu aider ses clients et prospects à répondre aux nombreuses questions qu'il pose. Lors d'un atelier interactif, Julie Niddam, avocate spécialisée en propriété intellectuelle, nouvelles technologies et données personnelles, a présenté les fondements du RGPD et répondu aux questions des invités sur leurs problématiques précises. On vous en restitue l'essentiel.

Ce compte-rendu restitue les informations évoqués lors de l'atelier du 27 mars 2018

atelier-information

Julie Niddam répond aux questions des invités concernant les données personnelles

Définition d'une donnée personnelle

Avant d'aller plus loin, rappelons ce qu'est une donnée personnelle. On appelle ainsi toute donnée qui permet d'identifier directement ou indirectement une personne. On parle de données sensibles lorsqu'on parle de vos origines raciales ou ethniques, des données de santé, de l'orientation sexuelle, , de votre appartenance religieuse, politique, syndicale, etc.

D'une démarche déclarative à l'auto-responsabilité dans le traitement des données

Avec le RGPD, on assiste à un changement de culture. Nous étions auparavant dans un système déclaratif auprès de la CNIL, nous entrons dans un système d'auto-responsabilité. Ce changement de culture et de dynamique se déploie en triptyque.

  • Suppression des formalités de déclarations
  • Auto-responsabilisation : vous devez être en mesure d'expliquer les mesures organisationnelles et techniques mises en place dans votre structure, qui montrent que vous respectez les principes du règlement. Ces mesures doivent être documentées pour être présentées en cas de contrôle.
  • Renforcement des sanctions : en théorie, on parle de 10 à 20 millions d'amendes, ou 2 à 4% du chiffre d'affaires mondial consolidé pour les organismes qui ne sont pas en conformité. La mise en œuvre de ces sanctions reste floue pour l'instant.

Rappelons qu'il s'agit d'un règlement d'application directe, applicable dans tous les états membres au 25 mai.

Un règlement qui renforce les droits des personnes

L'objectif de ce règlement est avant tout de protéger les données personnelles et d'améliorer leur contrôle par les individus. Leurs droits sont donc extrêmement renforcés.

  • Le droit d'accès aux données a été précisé, le RGPD listant les informations qui doivent être communiquées à la personne. L'entreprise doit ainsi notamment indiquer la durée de conservation des données, communiquer les finalités d'utilisation des données, si elles sont transmises à des tiers ou font l'objet de transferts hors Union Européenne. Et, dans cette dernière hypothèse, quelles sont les garanties qu'elle met en œuvre pour sécuriser ces données.
  • Le RGPD généralise le droit au déréférencement, prévu pour les moteurs de recherche, à l'ensemble des responsables de traitement en permettant aux personnes concernées de demander l'effacement de leurs données (« Droit à l'oubli »).
atelier-information

Accueil des invités de l'atelier du 27 mars 2018

Et qui crée deux nouveaux droits : portabilité et limitation

Le droit à la portabilité permet à la personne concernée de demander à un responsable de traitement des données de lui communiquer ses données sous un format automatisé et aisément réutilisable, voire de les transmettre à un autre responsable de traitement, sous certaines conditions.

Le droit à la limitation permet à la personne concernée de demander au responsable du traitement qu'il « gèle » le traitement de ses données dans certaines hypothèses, notamment le temps qu'il vérifie le bienfondé d'une demande d'opposition ou de rectification. En pratique, l'entreprise doit alors migrer ses données vers un espace dédié, inaccessible au public ou aux salariés de l'entreprise, le temps que la demande soit examinée et traitée.

Point très important rappelé par Julie Niddam : pour les traitements fondés sur le consentement, l'organisme collecteur doit être capable à tout moment de fournir la preuve du consentement des personnes, que celui-ci soit collecté sur papier ou numériquement.

Les mesures à mettre en place dans les organismes et entreprises qui traitent des données

Le respect du RGPD implique de nombreuses contraintes, qui se concrétisent par la mise en place de mesures organisationnelles, physiques et logiques, telles que par exemple :

atelier-information
Julie Niddam, avocate de Captive

La désignation d'un Data Privacy Officer (DPO)

Le RGPD impose désormais, dans certaines circonstances, la désignation d'un DPO, Data Privacy Officer, en français Délégué à la Protection des Données, le successeur naturel du Correspondant Informatique et Libertés. Il est néanmoins fortement conseillé de désigner un DPO, même dans les hypothèses où une telle désignation n'est pas obligatoire. La nouveauté, c'est que le règlement exige que ce délégué dispose de qualifications spécifiques en matière de protection de données.

Les mesures organisationnelles

L'entreprise doit mettre en place une politique de sécurité de son système d'information. Cela se traduit par

  • Des règles de sécurité clairement expliquées dans des chartes informatiques intégrée au règlement intérieur ou signées par les salariés, des notes internes, etc. ;
  • Des clauses dans les contrats de travail informant sur le traitement des données personnelles et incluant une obligation de confidentialité et de respect du RGPD ;
  • Une gestion des habilitations d'accès aux différentes données en fonction des embauches et départs ;
  • Une gestion des authentifications.
Les mesures physiques

Elles se traduisent par des mesures très concrètes de sécurisation des locaux, des salles de serveurs, des lieux de stockage des données, etc.

Les mesures logiques

Il s'agit notamment de :

  • Une politique de génération, de renouvellement et de stockage des mots de passe selon les recommandations de la CNIL ;
  • La sécurisation des postes de travail fixes et nomades ;
  • Le chiffrement des échanges lorsque les données sortent de l'entreprise via des protocoles recommandés par la CNIL ;
  • Le contrôle des sous-traitants via des questionnaires de conformité ;
  • La mise en place d'une surveillance et d'un contrôle de la maintenance ;
  • La sécurisation des serveurs,
  • Etc.

Comment se mettre en conformité ?

Au vu de la complexité du RGPD et de ses nombreuses difficultés, il est essentiel d'être accompagné par un expert juridique. Julie Niddam donne l'exemple de la méthode proposée par son cabinet aux entreprises souhaitant se mettre en conformité avec le RGPD, intégrant notamment :

Cartographie précise des traitements et des données personnelles que vous gérez.

Programme de mise en conformité qui répertorie tous les principes du règlement, et les livrables adaptés pour y répondre, au nombre desquels figurent notamment :

  • Le registre des traitements ;
  • Un tableau répertoriant pour chaque type de données les durées de conservation et d'archivage intermédiaire ;
  • Des procédures internes de réponse aux demandes d'exercice des droits des personnes concernées ;
  • La liste des mesures techniques et organisationnelles à mettre en place ;
  • Etc.

De l'importance de la conformité des sous-traitants

L'atelier a permis de rappeler à plusieurs reprises l'importance de s'assurer de la conformité de ses sous-traitants via des questionnaires ad hoc afin de dégager sa responsabilité et de se mettre soi-même en conformité. En résumé, si vos sous-traitants ne sont pas conformes, vous non plus…

Julie Niddam a également rappelé que la conformité au RGPD serait à partir du 25 mai un argument commercial pour les petites structures travaillant avec de grands groupes, soulignant qu'elles seraient forcément auditées dans un avenir proche sur leurs procédures de traitement de la donnée. CAPTIVE est d'ailleurs en train de procéder à sa mise en conformité afin de répondre aux demandes de compliance de ses clients.

Concernant l'hébergement ou le transfert des données en dehors de l'Union Européenne et des pays ayant fait l'objet d'une décision d'adéquation par la Commission européenne, la signature de clauses contractuelles types exigeant le respect du RGPD avec tous les sous-traitants est également essentielle pour être en conformité.



Vous voici au fait des grandes lignes de la mise en conformité avec le RGPD. Pour étudier votre cas particulier, notre experte rappelle qu'il est essentiel de recevoir le conseil d'un professionnel du droit qui saura vous guider dans l'application des directives selon vos spécificités.

Si cet atelier suscite des questions, ou si vous ne voulez pas manquer le prochain atelier sur une autre thématique d'actualité, écrivez-nous  ! Nous serons ravis d'y répondre, de vous faire parvenir nos prochaines invitations ou de vous orienter vers notre experte.