Le 25 mai 2018, le règlement général sur la protection des données (RGPD) entrera en vigueur en France.
Pour les entreprises, cela implique à la fois des contraintes (leur responsabilité va être renforcée) mais aussi de réelles opportunités, puisqu’elle va leur permettre d’améliorer leur sécurité informatique et leurs relations avec leurs clients.
Une étude publiée par le Boston Consulting Group (source) a ainsi montré que les consommateurs sont de plus en plus réticents à partager leurs informations personnelles. Ils s’estiment en effet trop peu informés sur l’utilisation qui en sera faite.
Il est difficile de leur donner tort ! D’importants scandales ont mis à jour les pratiques des GAFA qui, depuis de nombreuses années, collectent des données sensibles sans prévenir leurs utilisateurs. Il y a pire : ils stockent aussi des informations sans finalité précise, ils les traitent sans durée de conservation et ils les commercialisent sans que les consommateurs aient leur mot à dire.
Alors si comme 67% des entreprises (source), vous pensez que votre structure ne sera pas prête le 25 mai, voici un récapitulatif des principaux changements à venir.
Qui est concerné ?
Toutes les organisations, publiques ou privées, petites ou grandes, sont concernées à partir du moment où elles traitent des données à caractère personnel, de façon directe ou indirecte.
Pour simplifier, à partir du moment où une entreprise collecte des données sur une personne physique identifiée (ex : une adresse e-mail) ou identifiable, alors elle relève du RGPD.
Il existe toutefois une exception : si les données sont strictement personnelles (c’est-à-dire qu’elles ne sont pas destinées à un usage professionnel/commercial) alors le « responsable du traitement » de ces informations n’est pas visé par les obligations du RGPD.
Quelles sont les principales obligations des entreprises ?
Le RGPD constitue une véritable révolution en matière de traitement des données personnelles.
Les organisations vont en effet avoir de nouvelles obligations à respecter :
Informer de la collecte (directe ou indirecte) des données
Qu’il s’agisse de prospects, de clients, de fournisseurs, de salariés… A partir du moment où leurs données sont collectées, les personnes doivent obligatoirement être informées (y compris lorsqu’un fichier a été acheté auprès d’un professionnel : on parle dans ce cas-là de collecte « indirecte »).
Il faut notamment indiquer quel est le fondement juridique de ce traitement des données. Le RGPD propose 6 « bases juridiques » selon que ce traitement est effectué AVEC ou SANS consentement. En effet, dans certains cas, il est possible de collecter des données sans avoir besoin du consentement de la personne (exemples : sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique, exécution d’un contrat auquel la personne concernée est partie, respect d’une obligation légale…).
La collecte doit également être limitée au strict nécessaire : il est obligatoire de « minimiser » les données collectées, en ne stockant que celles qui sont vraiment utiles.
Il faut aussi veiller à informer toutes les personnes concernées de leurs droits RGPD et déterminer, en fonction de chaque cas, ceux qui vont s’appliquer. Une mention spéciale doit rappeler l’existence du droit d’opposition au profilage et à la prospection commerciale. Pour ceux qui l’ignorent, le profilage (ou « scoring » dans le jargon marketing) consiste à prévoir un comportement en se basant sur des statistiques.
Mettre en place des mesures de sécurisation des données
Le RGPD prévoit l’obligation technique de prendre des mesures appropriées afin de garantir la sécurité des données.
Les entreprises doivent donc se poser les bonnes questions : quels sont les risques de vol des fichiers de données ? quelles vont être les conséquences sur la vie privée ? comment se protéger contre la violation des données (accidentelle ou illicite : accès non autorisé, divulgation non autorisée, altération, perte, destruction) ?
Il faut ensuite que l’organisation agisse pour garantir un niveau de sécurité adapté au niveau de risque compte tenu de l’état des connaissances, du coût de mise en oeuvre, de sa nature, de sa portée, du contexte, des finalités de traitement, mais aussi des risques dont le degré et la probabilité varient pour les droits et libertés des personnes physiques.
Le RGPD prévoit notamment quatre bonnes pratiques :
- la pseudonymisation et le chiffrement des données
- la garantie constante de confidentialité, d’intégrité, de disponibilité et de résilience des systèmes et des services de traitement
- le rétablissement de la disponibilité et de l’accès aux données personnelles dans des délais appropriés en cas d’incident physique ou technique
- l’élaboration d’une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures assurant la sécurité du traitement
Enfin, il est obligatoire de signaler à la CNIL toutes les violations de données dont l’organisation a pu être victime.
Les 6 étapes à suivre pour se mettre en conformité
La CNIL a défini 6 grandes étapes pour mettre en place une politique de sécurité des données conforme au RGPD (source) :
- Désigner un Délégué à la Protection des Données (appelé aussi DPO, l’acronyme de Data Protection Officer) qui sera chargé d’informer, de conseiller et de contrôler les collaborateurs mais aussi de veiller à l’adoption de mesures concernant la sécurité. Mais toutes ne sont pas dans l’obligation de nommer un DPO « Data Protection Officer » (Délégué à la Protection des Données DPD en français). L’article 37 du RGPD défini 3 cas d’obligation de désignation d’un DPO. Prenez le temps de lire cet article et il y a de grandes chances pour que vous découvriez que le DPO n’est pas obligatoire pour vous.
- Le DPO devra cartographier tous les traitements de données personnelles et tenir un registre des traitements.
- A partir du registre des traitements, le DPO va prioriser les actions à mener pour mettre l’entreprise en conformité avec toutes ces nouvelles obligations.
- Mener une analyse d’impact sur la protection des données ((PIA) pour chaque traitement des données présentant un risque élevé pour les droits et libertés des personnes. Il s’agit d’anticiper pour bien gérer les risques !
- Mettre en place des procédures internes afin de protéger les données personnelles en intégrant tous les événements susceptibles de se produire (exemple : demande d’opposition/de rectification, changement de prestataire, faille de sécurité…).
- Constituer une documentation, actualisée régulièrement, pour attester de la conformité au RGPD.
L’avis de Laurent Brault, dirigeant de MDK Solutions
Le 25 mai… c’est maintenant ! Si vous n’avez pas déjà lancé depuis plusieurs mois le projet de votre mise en conformité, il est déjà trop tard pour être prêt le jour J. Cependant, pas de panique : la situation n’est pas forcément catastrophique, surtout pour les petites et très petites structures.
Identifiez deux spécialistes (juridique et technique) interne ou externe pour qu’ils vous aident à cibler très rapidement les points majeurs à mettre en place.
Ce sont souvent :
- la mise à niveau des contrats (en particulier ceux des sous-traitants).
- la protection (chiffrement et sauvegarde) des données personnelles que vous gérez. Si vous sécurisez déjà ces données, le pas restant à franchir sera minime.
- l’élaboration des procédures « critiques » pour les traitements de données personnels. Un effort de formalisation des procédures en cas d’attaque sera un vrai plus pour vous, RGPD ou pas RGPD.
Si chaque cas est un cas particulier, il faut quand même savoir que toutes les sociétés ne gèrent pas des masses de données personnelles, et encore moins de données qui ne sont pas nécessaires à l’exécution des engagements contractuels. La mise en conformité en est d’autant simplifiée.