Le RGPD quelles conséquences pour les professionnels

LE RGPD C'EST QUOI ?

Le Réglement Général sur la Protection des Données (RGPD) ou General Data Protection Regulation (GDPR) est un cadre européen qui encadre le traitement et la circulation des données à caractère personnel. Il a été voté le 27 avril 2016 et rentre en vigueur le 25 mai 2018. En plus de redonner la main sur leurs données aux particuliers, il responsabilise les professionnels et exigeant qu'ils aient un traitement sécurisé, transparent et totalement traçable des données nominatives.

LE RGPD C'EST QUI ?

En France c'est la CNIL qui veillera au respect du RGPD. La Commission Nationale de l'Informatique et des Libertés avait jusqu'à présent pour mission de faire respecter la loi de l'Informatique et des Libertés de 1978. Le RGPD vient confirmer et renforcer ce que la loi exigeait déjà des professionnels qui exercent dans l'hexagone. En cas de non-respect du RGPD, c'est la CNIL qui interviendra et adressera un avertissement, des recommandations ou des sanctions.

LE RGPD CONCERNE QUI ?

Tout professionnel, toute entreprise, toute administration qui exerce en Europe, quelle que soit son origine (Européenne, Américaine, Chinoise, Indienne...), quelle que soit sa taille (TPE, PME, Multinationale...) doit respecter le RGPD. Ainsi les banques, les réseaux sociaux (Facebook, Twitter, Instagram, LinkedIn...) et toutes les entreprises qui collectent de la donnée nominative sont concernés.
Vous êtes un professionnel indépendant, en SARL, EURL, SAS, ... , vous collectez des données personnelles, par exemple des adresses e-mail pour l'envoi d'une newsletter ? Vous êtes concernés !

LES SANCTIONS

Après l'entrée en vigueur du RGPD, les professionnels qui collectent des informations personnelles de particuliers devront avoir fait le nécessaire pour ne pas risquer des sanctions qui peuvent s'avérer sévères. En effet, les entreprises qui collectent des données nominatives, si elles le font mal, pourront être sanctionnées d'une amende pouvant s'élever à 20 millions d'euros ou 4% de leur chiffre d'affaires ! En cas de contrôle ou de plainte, elles devront prouver qu'elles stockent des données obtenues avec un consentement réel et non discutable. Elles devront également démontrer que les données nominatives ne sont pas accessibles par n'importe qui, que le système informatique par où ces données transites est sécurisé, conforme et pensé dans les règles de l'art pour les protéger au mieux.

NE PAS AGIR DANS LA PRÉCIPITATION !

Si vous êtes concerné par l'application de la RGPD, ne paniquez pas et n'agissez pas dans la précipitation. Surtout ne vous laissez pas avoir par des pseudo professionnels de la RGPD qui veulent vous faire peur pour vous vendre du vent. La CNIL met en garde sur les agissements de certaines entreprises ; Lire le communiqué de presse de la CNIL. En cas de doute, vous pouvez appeler la CNIL au 01.53.73.22.22

D'autre part la CNIL a annoncé "Un contrôle pragmatique du respect du RGPD à partir du 25 mai 2018" :
"Pour ce qui est des nouvelles obligations ou des nouveaux droits résultant du RGPD (droit à la portabilité, analyses d’impact, etc.), les contrôles opérés auront essentiellement pour but, dans un premier temps, d’accompagner les organismes dans une courbe d’apprentissage vers une bonne compréhension et la mise en œuvre opérationnelle des textes."
Lire la publication de la CNIL sur la mise en oeuvre pragmatique de la RGPD

COMMENT SE CONFORMER AU RGPD ?

Sur son site la Commission Nationale de l'Informatique et des Libertés propose depuis presque deux ans, un plan d'action en 6 étapes :

1) Désigner un délégué à la protection des données. Le délégué pourra avoir le titre de DPO (Data Protection Officer), il devra veiller à ce que la législation soit bien respectée et que tout est mis en oeuvre au sein du système d'information de l'entreprise pour respecter le RGPD. Il sera naturellement le correspondant de l'autorité qui fait appliquer le RGPD, c'est-à-dire la CNIL. Il pourra être saisi par les particuliers auprès de qui il devra être clairement identifié. Facebook a par exemple passé une annonce de recrutement pour occuper ce nouveau poste ouvert à Dublin : https://www.facebook.com/careers/jobs/a0I1200000LSnngEAD/ et plusieurs offres d'emplois en France sont toujours en attente de candidats pour ce nouveau poste...
Le DPO est obligatoire pour les entreprises qui manipulent un grand volume de données et tout organisme d'État, et est vivement recommandé pour les autres (petites et moyennes entreprises). Le DPO n'est pas forcément salarié de l'entreprise, il peut être un intervenant extérieur et être mutualisé sur plusieurs entreprises.
Le DPO remplace le CIL (Correspondant Informatique et Libertés) qui était le titre donné à celui qui était le correspondant privilégié de la CNIL au sein d'une entreprise.

2) Identifier les traitements de données personnelles : quels sont les bases de données, les fichiers qui contiennent des informations nominatives et quels sont les programmes, processus qui exploitent ou manipulent ces données. Une documentation doit préciser qui est responsable des données stockées et manipulées ; et pour chaque traitement de données personnelles, la destination et l'objet doivent être clairement spécifiés. La documentation produite est un registre qui doit permettre d'identifier où transitent les données (en interne et en externe), dans quel but, comment ces données sont sécurisées, qui peut y accéder, combien de temps elles sont conservées.
La CNIL met à disposition un modèle de registre : https://www.cnil.fr/sites/default/files/atoms/files/registre-reglement-publie.xlsx

3) Identifier les actions prioritaires à mener sur l'ensemble des traitements de données personnelles pour qu'ils soient conformes aux exigences du RGPD. S'assurer que seules les données utiles sont collectées. Le RGPD exige qu'il ne soit pas collecté de données superflues. Pas question donc de recueillir trop d'infos pour anticiper des opérations futures (par exemple : pour une newsletter, il n'y a pas lieu, a priori, de stocker des numéros de téléphone). Préciser sur quelle base juridique le recueil des données est fait (consentement de la personne, intérêt légitime, contrat, obligation légale). S'assurer les mentions d'informations auprès des utilisateurs dont vous collectez des données (ils doivent clairement comprendre que des données les concernant sont stockées, dans quel but et si vous transmettez ces données ils doivent le savoir et savoir pourquoi). Si vous travaillez avec des sous-traitants vous devez les informer de leurs obligations vis-à-vis des données personnelles, et ils doivent avoir connaissance du RGPD, ils doivent bien comprendre que leur responsabilité est engagée. Assurez-vous que les personnes dont vous avez collecté des données peuvent y accéder, les télécharger, les corriger, les supprimer. Vérifiez le niveau de sécurité mis en oeuvre au sein de votre système informatique et que tout est mis en oeuvre pour garantir un haut niveau de sécurité.

Plusieurs éditeurs mettent à disposition des documentations relatives à leurs solutions vis-à-vis de la RGPD et vous aident à avoir un niveau de sécurité optimale. Par exemple :
- Microsoft pour son moteur de base de données SQL Server : https://docs.microsoft.com/fr-fr/sql/relational-databases/security/microsoft-sql-and-the-gdpr-requirements?view=sql-server-2017
- Oracle MySQL : https://www.mysql.com/fr/why-mysql/white-papers/mysql-enterprise-edition-gdpr/ et https://www.oracle.com/fr/database/security/resources.html
- MongoDB : https://www.mongodb.com/collateral/gdpr-impact-to-your-data-management-landscape

4) Gérer les risques en faisant une étude d'impact sur la protection des données (Privacy Impact Assesment - PIA). Cette étude devra être réalisée avant la mise en place d'un nouveau traitement des données. Et systématiquement réalisée sur un traitement jugé à risque pour la vie privée. Un PIA d'un traitement inclura une description et finalité du traitement, une évaluation de la nécessité et de la proportionnalité du traitement, une appréciation des risques sur les droits et libertés des personnes concernées, les mesures à mettre en oeuvre pour traiter les risques pour se conformer au règlement. Mettre en oeuvre une politique de cryptage, d'accès restreint au maximum et de surveillance d'intrusion (interne ou externe).
La CNIL met à disposition plusieurs documents et guides relatifs au PIA sur son site : https://www.cnil.fr/fr/PIA-privacy-impact-assessment

5) Organiser les processus internes de sorte que tous les intervenants aient bien conscience que les données privées des personnes doivent être manipulées avec un très haut niveau de confidentialité et de sécurité. Cet état d'esprit doit être vrai dès la conception d'une application, d'un traitement ou autre opération qui implique des données personnelles. Il doit y avoir un processus en place pour traiter les réclamations, les demandes de corrections, de suppressions dans les plus brefs délais. En cas d'intrusion, de corruption ou d'incident grave sur des données personnelles, la CNIL doit être informée dans les 72 heures et les personnes concernées dans les plus brefs délais.

6) Documenter les traitements de données personnelles en constituant un dossier contenant : le registre des traitements, les analyses d'impacts sur la protection des données (PIA), l'encadrement des transferts hors Union Européenne, les mentions d'information auprès des personnes concernées, les modèles de recueil de consentement, les procédures mises en oeuvre pour l'exercice des droits des personnes, les contrats avec les sous-traitants, les procédures en place en cas de violations des données, les preuves que les personnes ont donnée leur consentement.

Pour vous aider, la CNIL met également à disposition une fiche complète pour permettre d'établir si vous êtes conformes ou non : https://www.cnil.fr/sites/default/files/atoms/files/pdf_6_etapes_interactifv2.pdf

En CONCLUSION

Pour les grandes entreprises dont le volume de données personnelles et les traitements sont multiples (banques, assurances, etc...) le travail de mise en conformité a forcément commencé et est assez complexe. Lorsqu'il y a de nombreux intervenants qui ont accès à des données personnelles, des mécaniques d'anonymisation ou pseudonymisation doivent être mises en place ; et ce n'est pas simple. La traçabilité des traitements doit aussi être mise en oeuvre et là encore cela peut rapidement devenir compliqué sur des systèmes existants. Pourtant, avec la loi informatique et libertés déjà existante, il devrait déjà y avoir de bonnes pratiques en oeuvre, mais malheureusement ce n'est pas forcément le cas d'où le travail considérable provoqué par l'arrivée du RGPD.

Pour les entreprises qui n'ont pas une multitude de traitements sur des données personnelles qu'elles stockent, et si ces données ont été collectées dans les règles de l'art c'est à dire avec le consentement des personnes concernées, la mise en conformité peut être assez rapide. Par exemple chez Weekly nous savons que :
- nous devons déclarer un contact délégué au traitement des données (DPO). Ce n'est pas obligatoire vu le volume de données, mais cela nous semble plus simple pour démontrer notre prise en compte du RGPD.
- nous stockons des données personnelles pour l'envoi de Newsletter (L'essentiel de l'actu et les bons plans) ou de concours. Pour chaque souscription nous envoyons une demande de validation par mail à la personne qui souscrit ce qui équivaut à un consentement. Pas de changement de ce côté.
- nous avons identifié que nous devions nous assurer de la suppression des données liées aux différents concours organisés par le passé, car nous n'avons plus aucune raison de conserver des données de participants.
- nous avons identifié que nous devions supprimer les données de personnes qui ne sont plus abonnées depuis plusieurs mois à aucun service d'envoi de Newsletter. Nous avons automatisé ce processus. Un mail est envoyé pour informer de la suppression des données et pour inviter les personnes à se réinscrire si elles le souhaitent.
- nous allons mettre en place un bouton de téléchargement pour nos abonnés pour qu'ils puissent télécharger les données que nous avons sur eux et qui les concernent.
- puisque nous envoyons nous-mêmes les mails sans passer par des services comme MailChimp ; nous n'avons aucune transmission d'informations vers des tiers.
- les données sensibles sont cryptées en base et une seule personne chez Weekly peut accéder à l'ensemble des données.
- les sauvegardes (backup) de bases sont cryptées et sécurisées par mot de passe et sont stockées dans le cloud (OneDrive) qui respecte le RGPD.
- les mises à jour de sécurité O/S et moteur de bases de données sont automatiques.
- nous devons réviser notre note d'information pour les nouveaux abonnés à nos newsletter pour nous assurer que tout est clair et pour rappeler que nous ne transmettons aucune information personnelle à des tiers.
- nous allons produire une documentation sur nos traitements qui sont relativement simples et "classiques".

Ceci dit, le 25/05/2018 n'est pas une date butoir qui annonce l'apocalypse. En cas de contrôle, les entreprises devront pouvoir démontrer qu'elles ont bien avancé sur la prise en compte des nouvelles règles qu'impose le RGPD et que les grandes lignes sont respectées. En cas d'inquiétude, de doute, ne pas hésiter à contacter la CNIL qui reste à la disposition des professionnels pour les accompagner, mais ne pas se tourner vers le premier prestataire venu...