Depuis le 27 avril 2016, le règlement relatif a été adopté concernant la protection des personnes physiques à l’égard du traitement de données à caractère personnel et à la libre circulation de ces données

En mai 2018, le nouveau règlement européen relatif à la protection des données (RGPD) entrera en vigueur. Il faudra prévoir un impact direct sur la manière de traiter les données personnelles et ce qui a attrait à la vie privée. Cela implique de ce fait toute une série de changements techniques, juridiques ou opérationnels quelque soit la taille et le type d’entreprises. 

Tout le monde en parle. Les articles sur le sujet sont divers et variés mais ce qui est clair, c’est que l’ignorance sur le changement concret que cela impacte reste bel et bien présente. Certaines TPE/PME pensent que cela ne concerne que les grands groupes. Eh bien non ! Beaucoup sont mal informées et peu ou pas préparées.

RGPDLe RGPD n’est pas une directive mais un règlement. Cela signifie qu’il a une prise d’effet directe dans chaque loi.  Ce sera donc directement applicable dans tous les pays d’Europe, dès son entrée en vigueur le 25 mai prochain. Aujourd’hui, toute entreprise, si petite soit-elle, collecte et traite des données à caractère personnel doit être en règle pour Mai 2018.

Beaucoup d’éléments de vie quotidienne constituent une collecte de données : par exemple….
– un formulaire de contact
– une demande de devis sur son site internet
– des données collectées via une page Facebook
– la souscription à un abonnement, une newsletter…
– la collecte de points et utilisation d’une carte de fidélité
– l’inscription à une formation, à un événement…
–  tout type de transaction commerciale (prise de rendez-vous, envoi d’offre, de facture, etc.)
– la candidature pour une embauche (fiches personnelles)
… et donc par extension, toute fonctionnalité demandent de remplir différentes informations dans un formulaire

Minimiser les données collectées

Au-delà des contraintes imposées par cette nouvelle réglementation, chaque entreprise est incitée à prendre du recul et à remettre en question ses méthodes et ses usages.

  • Quelle est la nature des données que je collecte ?
  • Quel est leur niveau de protection et d’accessibilité ?
  • Où sont-elles traitées ?
  • Qui a le droit de les consulter ? Quel est leur durée de vie ?
  • Comment sont-elles gérées dans le temps ?
  • Quelles sont les données les plus sensibles ?

Que faire pour rationaliser ? 

Pour résumer, les données personnelles doivent être adéquates, pertinentes et limitées au strict nécessaire.
Elles doivent être en lien avec la finalité pour laquelle les données sont traitées.

Que doit faire l’entreprise pour être clean avec les données conservées ? 

  • Nettoyer vos bases de données, trier et supprimer les données inutiles ou périmées
  • Revoir votre organisation de collecte de données pour ne récolter que les données strictement utiles à l’objectif visé
    (exemple : l’adresse mail + le nom sont suffisant pour une inscription à une newsletter).

8 Principes adoptés

  1. Principe de loyauté : les données personnelles doivent être traitées de manière loyale, licite et transparente.
    Ce qui signifie qu’il faut informer clairement et avoir le consentement des personnes concernées.
  2. Principe de proportionnalité : les données personnelles ne peuvent être collectées que pour un objectif précise, identifié et légal.
  3. Principe de minimisation : seules les données expressément utiles seront collectées.
  4. Principe de réactivité : les données personnelles conservées doivent être exactes, précises et actualisées.
    Il est impératif de tenir à jour vos bases de données et informer les personnes en cas de violation de leurs données personnelles.
  5. Principe de sécurité : Des dispositifs et procédures de sécurité doivent être mises en place,
    à la fois via le responsable du traitement et des sous-traitants.
  6. Principe de conservation limitée : La durée de conservation doit être justifiée et les données qui ne sont plus utilisées doivent être supprimées.
    Selon l’objectif visé, les durées sont différentes ( en jours, mois, années… )
  7. Principe d’information : les personnes dont les données personnelles ont été collectées disposent des droits spécifiques d’accès à l’information, rectification, effacement, portabilité… Elles peuvent les faire valoir à tout moment.
  8. Principe de territorialité : si l’entreprise envisage d’utiliser les données en dehors de l’espace européen, des précautions complémentaires sont nécessaires.

RGPD
Ce texte, est le résultat d’un compromis européen entre pays à la conception parfois différente de la protection des données, laissait deux ans, jusqu’au 25 mai 2018, aux États et aux entreprises pour le mettre en oeuvre. Il ressort tout de même d’enquêtes menées que, « 55% des organisations ne savent pas que le RGPD (Règlement général sur la protection des données) entrera en vigueur en mai 2018 et qu’elles devront s’y conformer ».

2 ans pour se mettre en conformité

Le RGPD concerne toutes les entreprises de toute taille et de tous secteurs, dans toute l’Europe
(voire même hors Europe pour peu qu’elles traitent de données personnelles de citoyens européens).

Les entreprises ont deux ans pour se mettre en règles, depuis avril 2016 jusqu’à mai 2018. Autrement dit, il reste quelques mois maintenant !
Et celles qui ne le seront pas à cette date s’exposeront à des sanctions financières. Bien sûr cela touchera d’avantage les organismes publics et les entreprises du CAC 40 mais toutes sont impactées.

La France va modifier sa loi Informatique et libertés pour la faire coïncider avec ce règlement. Là encore, rien n’a été finalisé et ces démarches sont en cours. Pour résumer, l’État a une pression pour élaborer un projet de loi nécessaire à l’application du RGPD et les entreprises doivent se préparer pour se mettre en conformité, alors que certaines dispositions renvoient à des démarches d’état non terminées.

Pour autant, les entreprises ne peuvent s’abriter derrière le  » je ne sais pas  » pour ne pas agir. Au contraire, elles doivent engager au plus vite une démarche de mise en conformité. La tâche est, selon les types d’entreprises, constituée de plus ou moins d’étapes.

Comment s’y prendre ?

Le RGPD s’applique à toutes les informations concernant une personne physique identifiée ou identifiable, y compris les données personnelles indirectes.

Ce règlement s’appliquera aux traitements des données personnelles, que le système soit automatisé ou non.

Le RGPD apporte des changements fondamentaux pour les entreprises qui devront alors adapter leurs processus opérationnel et informatiques ( sécurité, transparence, responsabilité, notifications, prévention de fuites de données). Leur encadrement juridique sera surement à repenser (contrat, clause de respect de la vie privée, disclaimer sur site web, etc.).

RGPD

Check list
des 11 changements
à prévoir

  1. Droit d’accès : Chaque personne concernée a le droit de savoir comment ses données personnelles sont traitées et dans quel but.
    Les entreprises doivent donc permettre de contrôle des données privées par chaque individu.
  2. Consentement clair et explicite : Chaque personne doit donner son accord par un « acte positif clair » (art. 6 et 7)
    Dans le cas de mineur âgé de moins de 16 ans, le consentement doit être recueilli auprès du titulaire de l’autorité parentale (art. 8).
  3. Droit à l’effacement (version light du « droit à l’oubli ») : chaque personne a le droit d’obtenir l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant (art. 17).
  4. Portabilité des données : les personnes ont le droit de recevoir et réutiliser leurs données personnelles et de les transmettre à un autre prestataire, dans un format structuré, lisible par tous (par exemple en cas de changement de fournisseur) (art. 20).
  5. Profil et automatisation : toute personne a le droit de ne pas être soumise à une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l’affectant de manière significative (art. 22).
  6. Accountability
    Tout responsable de traitement ou sous-traitant est responsable des données qu’il traite.
    Pour preuve de leur bonne gouvernance, les entreprises de plus de 250 personnes ont l’obligation de conserver un registre de tous les traitements effectués sous leur responsabilitéLes PME sont donc dispensées sauf si les traitements des données comporter un risque pour les droits et libertés des personnes concernées, comme pour le traitement de données récurrentes et sensibles (transactions régulières, données médicales, judiciaires…).
  7. Protection des données dès la conception (Privacy by design) et sécurité par défaut(Privacy by default).
    Ces nouveaux principes imposent aux entreprises de prendre en compte la protection des données personnelles dès la conception des produits, services et systèmes exploitant des données à caractère personnel et de disposer d’un système d’information sécurisé (art. 25).
  8. Protection des données : analyse d’impact
    Tout responsable de traitement ou sous-traitant doit assurer la protection des données des personnes concernées par le traitement :
    obligation d’analyse d’impact, suivi, obligations particulières pour les données sensibles, obligation de sécurité du traitement des données. (art. 32, 33.5, 35)
  9. Notification des violations des données personnelles : les entreprises de plus de 250 salariés sont tenues de notifier l’autorité nationale de protection, si possible dans les 72 heures, en cas de violations graves de données afin que les utilisateurs puissent prendre des mesures appropriées (art. 33). Toute entreprise devra informer au minimum, les personnes directement concernées et maintenir à jour une liste des traitements effectués.
    Il s’agit donc d’être proactif car il ne sera plus possible de régulariser a posteriori.
  10. Nomination d’un délégué à la protection des données (DPO ou Data Protection Officer) pour les organismes publics ou privés traitant des données sensibles (exemple clinique, emploi, société de surveillance) ou à grande échelle (comme une banque) (art. 37).
  11. Obligations liées aux contrats de sous-traitance – Obligation d’un contrat écrit, obligation de tenir un registre, mesures pour assurer l’accessibilité des données, etc.

    5 grandes phases pour
    permettre à l’entreprise
    de s’adapter

1. Une décision des Dirigeants.  La mise en conformité au RGPD entraîne un changement de gestion important. Là où, avant, le respect des obligations de la loi Informatique et libertés se résumait bien souvent pour la plupart des organismes à cocher une case sur un formulaire de déclarations CNIL : Là, il faut désormais intégrer cette démarche de compliance et mettre en place des mécanismes pour la rendre effective. Cette démarche doit être initiée par la direction générale et tous les services doivent initier cette nouvelle culture d’entreprise.

2. La mise en place d’une organisation pour assurer la compliance
Le RGPD impose, dans trois situations, la désignation d’un DPO ou délégué à la protection des données. Les organismes vont devoir désigner une personne pour suivre ces tâches au quotidien. Pour répondre aux obligations du RGPD et notamment au principe d’accountability ; les personnes désignées devront être dotées de pouvoirs, de moyens et de budget leur permettant d’exécuter leurs missions. Par ailleurs, selon la taille de l’organisme, le nombre de personnes pourra varier afin d’absorber le volume de travail que cela va générer. Il convient de noter que le règlement prévoit la possibilité que les organismes externalisent cette mission auprès de prestataires tiers. Les avocats, pourront aussi être utiles et remplir ces missions d’accompagnement de politique de conformité.

3. Un état des lieux s’impose Une fois l’organisation définie, il convient de réaliser un état des lieux pour établir le Gap entre l’existant et l’objectif à atteindre. À la suite de cette analyse, les risques seront identifiées. Plusieurs critères seront utiles pour qualifier la qualité des données, la quantité, les traitements à opérer (matching, scoring, rapprochement …), les technologies utilisées, les liens avec le métier….
Dans tous les cas, il sera impératif de remédier aux écarts, après cet état des lieux et la démarche de mise en conformité consiste également à définir des priorités. L’état des lieux doit être effectué par rapport à chacune des obligations mise à la charge de l’entreprise, avec un calendrier d’actions à mettre en oeuvre.

4. Politiques et process
Pour répondre aux exigences du RGPD, l’organisme devra se doter de politiques et process. En cas de contrôle, l’entreprise devra être à même de démontrer qu’elle a mis en oeuvre les démarches et mesures organisationnelles pour respecter le RGPD. En matière de gestion de la relation client, la non-conformité Informatique et libertés a été identifiée et se concrétise par exemple lorsque les commentaires saisis sont excessifs, inadaptés où font apparaître des données sensibles comme des données de santé ou de religion. Dans une démarche de gestion des risques, les organismes doivent pouvoir prouver qu’ils ont mis en oeuvre un process de contrôle et de régularisation. Par exemple ,l’entreprise pourra montrer qu’elle dispose d’un process de monitoring et de filtrage de mots clés consistant à remplacer a priori ou a posteriori les mots interdits, et qu’elle dispose de moyens de traçabilité pour faciliter la sensibilisation et la formation des collaborateurs. Cela vous donne à présent une petite idée de ce que le règlement va imposer et de qui peut être contrôlé.
Bien évidemment, pour assurer sur le long terme, cela impliquera des audits réguliers et des actions de sensibilisation /formation afin de responsabiliser les dirigeants et utilisateurs.

5. Démarche de provacy by design et de security by default
Le règlement impose également deux démarches modifiant le pilotage des projets au sein des organismes.
Privacy by design, signifie qu’il faudra concevoir les projets en intégrant les fonctions, prérequis Informatique et libertés dès l’origine.
À ce titre, les organismes qui développent en interne des outils devront définir lesdits prérequis à respecter afin que les outils développés permettent à l’entreprise d’être en conformité avec le règlement européen. Lorsque le projet repose sur un outil du marché, les entreprises et prestataires devront s’assurer qu’il répond aux dites spécifications en exigeant un développement en connaissance de cause. Cela s’impose d’autant plus que les sanctions seront particulièrement élevées et que les autorités de contrôle seront amenées à examiner les mesures prises par chacun pour apprécier leur responsabilité.

Toutes les entreprises sont concernées mais à des degrés divers. Le principe de respect du droit des personnes, du traitement transparent et sécurisé des données personnelles est le même pour tous. La notion de responsabilité du traitement des données et de l’évaluation de l’impact et des risques potentiels s’applique également à toutes les entreprises qui manipulent les données de citoyens européens.

Même si cela semble fastidieux et complexe, le RGPD est aussi une opportunité pour les entreprises d’améliorer leurs pratiques pour les rendre plus efficaces et responsables.

  • Repenser, documenter et rationaliser la gestion des données personnelles
  • Mettre à jour les bases de données, mailing listes, outils CRM, etc. en éliminant les doublons, les données obsolètes ou non réglementaires
  • Adopter de bonnes pratiques de gestion des données et de respect du droit des personnes
  • Renforcer la sécurité et la qualité des données

Le but de cette démarche est d’en faire un investissement rentable pour créer de la valeur supplémentaire côté clients.
Un utilisateur qui se sent en confiance et en sécurité, sera un client fidèle source de recommandations. Cela deviendra un avantage concurrentiel.

Il ne faut pas oublier non plus que cette nouvelle règlementation représente une véritable opportunité pour les entreprises travaillant à l’international. Les règles sont désormais les mêmes dans tous les pays de l’UE, ce qui présage de meilleures conditions de concurrence quel que soit le lieu d’implantation de l’entreprise.