Analysez l’état de votre conformité
Le délégué à la protection des données (DPD, ou DPO, en anglais) est la personne qui s’occupe de la protection des données dans une entreprise. Alors qu’on comptait environ 5 000 CIL (correspondants Informatique et Liberté, l’ancêtre du DPO) avant l’entrée en vigueur du RGPD, plus de 80 000 organismes ont aujourd’hui désigné un DPO. Qu’en est-il dans votre entreprise ?
La conformité(ou “compliance”, en anglais) est désormais prioritaire dans l’esprit des entreprises et autres acteurs économiques, et cette mise en conformité débute par un nécessaire état des lieux des données à caractère personnel traitées par l’entreprise, par le biais d’un audit. Ce travail très important peut être fait par un DPO nommé qui sera salarié de l’entreprise, ou par un spécialiste externe. En complément de ce cours, vous pouvez consulter ces quelques éléments pour se lancer dans le grand bain, fournis par la CNIL.
À quoi sert le DPO ?
Le DPO pilote la mise en conformité au RGPD de votre entreprise, et met en œuvre les actions d’amélioration. Il sensibilise les équipes et gère la coordination et l’animation de la conformité, dont il assure le respect.
Il s’occupe également d’un document essentiel : le registre des activités de traitements. Eh oui, le RGPD oblige les acteurs économiques, lorsqu’ils traitent des données, à lister l’ensemble de ces traitements dans un registre, qui prévoit en outre :
Les acteurs intervenant dans le traitement de données
Représentant de l’entreprises
Sous-traitants
Co-responsables
Les catégories de données traitées
Durées de conservation
Fonctions
Raisons pour lesquelles on en dispose
Les personnes qui accèdent à ces données
Ce qui nous autorise à traiter les données : la base légale. Il y en a plusieurs : le consentement des personnes, une obligation légale, une mission de service public, une relation contractuelle…
Les raisons pour lesquelles vous collectez des données : ce sont vos finalités.
Les délais de conservation des données.
Les mesures de sécurité mises en place.
Etc.
L’état des lieux permet de faire une cartographie des traitements de données dans votre entreprise et d’obtenir un outil de pilotage de votre conformité RGPD.
Mais concrètement, comment faire votre audit RGPD ? Voyons les 4 étapes ensemble :
Il faut tout d’abord segmenter votre entreprise en « services » : RH, Communication, Finances, Affaires juridiques, DSI, etc. Vous pourrez ainsi identifier des personnes relais, « points de contact ». Ces personnes sont celles qui vont vous aider à réaliser votre audit.
Deuxième étape, vous devez organiser des réunions avec les personnes identifiées : par réunion d’1 à 2 heures, vous pourrez identifier les données traitées dans le service, leur cycle de vie et les outils utilisés par le service pour les traiter. Vous pouvez préparer ces réunions en proposant un questionnaire à remplir, ou interroger directement les personnes sur la manière dont elles réalisent leur travail pour identifier les traitements de données.
Suite à ces Rendez-Vous, vous devez matérialiser les comptes-rendus afin de faire ressortir les zones d’ombre, les incompréhensions et les mauvaises habitudes. Vous devez clarifier tout cela en faisant des retours individualisés aux personnes concernées. À la fin de la troisième étape, normalement, vous connaissez à peu près tout des différents traitements de données personnelles réalisés dans votre entreprise.
Avec tous ces éléments, vous devez désormais rédiger votre registre de traitement, ainsi qu’un calendrier de priorisation et un plan d’action à diffuser à tous.
Appliquez les règles existantes
L’entrée en vigueur en 2018 du Règlement UE/2016, ou règlement général sur la protection des données, concrétise une volonté européenne de garantir une protection des données identique pour tous, où que celles-ci soient traitées.
Si le RGPD demeure l’encadrement général, il vous faudra néanmoins naviguer entre les différentes législations applicables aux données et au secteur pour lequel vous travaillez, pour effectuer un réel travail de conformité.
Deux questions doivent toujours vous guider pour vous assurer d’appliquer la règle adéquate :
Vais-je traiter des données sectorielles, c’est-à-dire spécifiques à un secteur d’activité ?
Par exemple, des données environnementales, de santé, ou à caractère personnel incluses dans un document administratif.Mon activité est-elle régie par un droit sectoriel ?
Par exemple, si je souhaite faire de la prospection commerciale, suis-je dans le cadre d’une mission de service public ?
Comment avoir une réponse à ces questions ?
D’une part à l’aide de Légifrance. En cliquant dessus, vous pouvez chercher le mot « donnée » dans n’importe quel Code de droit français, et notamment celui dont vous savez qu’il s’applique à votre secteur
Par exemple, si vous travaillez dans le secteur des transports, en demandant à Légifrance de chercher tout article sur les données dans le Code des transports, vous pouvez vous assurer de l’existence d’un régime juridique complémentaire.
Législation spécifique | Ce que je peux faire |
Je peux traiter des données à caractère personnel. | |
Je peux utiliser le NIR selon les conditions prévues. | |
Je peux utiliser le NIR si je suis un téléservice. | |
Je peux utiliser des données concernant les infractions pénales. | |
Je peux réutiliser des informations publiques contenues dans des documents administratifs. | |
Directive ePrivacy et Code des postes et des communications électroniques | Je peux contacter des personnes pour la prospection commerciale. |
Connaissez les textes européens en cours de rédaction
L’objectif déclaré de l’Union européenne depuis ses fondements est de « renforcer la protection des droits et des intérêts des ressortissants ». Un programme ambitieux ? On peut l’affirmer ! Pour y parvenir, un outil essentiel : le droit.
L’Union européenne multiplie en effet les propositions de textes réglementaires pour encadrer les grands acteurs économiques qui traitent des données, notamment à caractère personnel.
Selon le droit de l’Union européenne, un « règlement » est un acte européen qui est immédiatement applicable à l’ensemble des pays de l’Union.
Quant aux directives, ce sont des actes juridiques qui cherchent à harmoniser les règles de droit des différents pays dans un domaine précis (par exemple, les services de paiement). Elles ne sont pas immédiatement applicables dans les pays, et doivent être transposées par des lois de transposition.
À ces dispositions doivent s’ajouter deux autres législations plus sectorielles :
La proposition de règlement ePrivacy, qui va notamment encadrer l’utilisation des traceurs et cookies. En voici les principales futures règles :
a) Les communications électroniques sont par défaut privées et confidentielles : pour les traiter, les écouter, les surveiller, etc., les personnes devront d'abord donner leur consentement explicite et affirmatif.
b) Avant d'utiliser des cookies sur votre site web, il faudra toujours collecter ce consentement.
c) Vous pouvez utiliser des cookies walls si vous proposez un équivalent qui n'implique pas de donner son consentement aux cookies et aux traceurs.
d) Les utilisateurs vont pouvoir établir une liste blanche des fournisseurs de cookies dans les paramètres de leur navigateur.
Le Projet d’accord sur le transfert des données entre la Commission et les États-Unis, en remplacement du Privacy Shield. Ce projet vise à permettre les échanges de données entre les États-Unis et l’Union européenne, qui se fondent aujourd’hui sur le consentement des personnes.
À vous de jouer !
Lancez-vous dans votre registre de traitement RGPD en remplissant ce tableau. Il y a autant de colonnes que de traitements de données, à vous de jouer !
En résumé
Certaines règles ne sont pas négociables et vous allez devoir les appliquer ; c’est le cas de la rédaction du registre de traitement, par exemple, et de la définition de tous les principes obligatoires du RGPD : quelle est votre base légale ? Quelles sont vos finalités ? Quels sont vos délais de conservation ? Etc.
Les nouvelles technologies vont toujours plus vite que le droit : jetez un œil de temps en temps aux futures règles qui devraient s’appliquer, dans 6 mois, 1 an, 2 ans… Pour anticiper !
Nous venons de voir les règles de droit « dur » – celles qui ne vous laissent pas le choix ! Mais il y a aussi du « droit mou », qui laisse la place à votre interprétation et votre vision du risque. Découvrons tout cela dans le prochain chapitre !