L'agence
WanadevStudio
RGPD : que faire, concrètement ? Voici les points principaux sur lesquels agir pour être en règle avec le RGPD
Le RGPD renforce les normes et contraintes existantes dans le traitement des données, mais globalement, si l’entreprise est déjà aux normes actuelles, les changements et nouveautés ne seront pas trop compliqués à prendre en charge.
Le RGPD et les ressources humaines
Personnel attitré
Une entreprise doit désigner (en interne ou un recrutement) un Délégué à la Protection des Données. Cette personne doit être le chef d'orchestre de la conformité au RGPD. Dans ce cadre, ses missions seront entre autres:
- informer et conseiller en interne (les responsables du traitement des données, les développeurs, etc)
- contrôler le respect du règlement
- collaborer avec les autorités et être leur point de contact dans l'entreprise
- faire de la veille pour se tenir informé des évolutions
^ La réglementation est encore floue à propos de l'obligation pour une entreprise d'avoir un DPO dans son équipe. Pour l'instant, il stipule que la désignation d'un DPO est obligatoire lorsque les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées et lorsque les activités de l'entreprise demandent un traitement à grande échelle de données personnelles dites "sensibles".
Informations supplémentaires: la personne déléguée à la protection des données est soumise au secret professionnel ou à une obligation de confidentialité en ce qui concerne l'exercice de ses missions. Elle doit être désignée sur la base de ses qualités professionnelles et ses compétences en droit du traitement des données. Enfin, il peut en plus exercer d'autres fonctions en même temps au sein de l'entreprise.
RGPD : la face visible
Consentement
Lorsqu’un utilisateur se connecte sur un site internet, celui-ci doit être sollicité dès la page d’accueil, de manière très claire et compréhensible, sur son consentement à ce que ses données soient récoltées et utilisées.
La demande de consentement doit :
- Être séparée des CGV
- Neutre, sans cases pré-cochées
- Rigoureusement détaillée sur les partenaires et autres parties prenantes de l’entreprise qui utiliseront ce consentement
- Indiquer, et en les dissociant pour consentement de chacune d’elles, toutes les raisons pour lesquelles seront utilisées les données (revente, activités commerciales et marketing…)
^ L’utilisateur doit à tout moment pouvoir revenir sur ses consentements et de manière compréhensible et aisément accessible.
La mise en relation avec le site pour l'utilisateur pour toute demande à propos de l'exercice des droits de ce dernier doit être tout aussi claire, simple et explicite.
La face cachée : ce qu'il doit se passer derrière
Cartographier les données
Il est conseillé de cartographier le traitement de données, avec notamment la mise en place d’un registre, comme celui proposé par exemple par la CNIL (ci-dessous). Ceci permet de:
- Faire le point
- Aider à la mise en place des processus nécessaires au respect du règlement
- Pouvoir prouver le respect des règles auprès des autorités
Un registre permet de visualiser le traitement de données et de définir vis-à-vis de ces dernières :
- leur finalité, l’utilisation faite de ces données (marketing, gestion RH, mailing…)
- leur sensibilité (biométriques, politiques, ethniques…)
- leur catégorie (localisation, connexion, identité…)
- les personnes physiques ou morales qui traitent ces données (lieu d’hébergement, transfert vers des payes hors UE…)
- leur durée de vie (combien de temps sont-elles conservées)
- leur degré de protection (mesures de sécurité mises en place)
@ Une fois les données cartographiées, peuvent être mises en œuvre les potentielles actions correctrices qui permettront la mise en conformité.
Traitement des données
Le traitement des données doit faire appel à des mécanismes bien définis qui doivent répondre aux nouvelles normes:
- durée de conservation des données
- ne collecter que les données nécessaires à une finalité spécifique
- mise en place d'un recueil de consentement
- sécurité et confidentialité des données (chiffrage, anonymisation...)
^ Des processus doivent être mis en place pour le traitement des demandes faites par les utilisateurs portant sur:
Une réflexion doit être menée pour que les processus mis en place soient les plus simples possibles, les moins contraignants pour l'entreprise, afin que cette dernière ne soit pas pénalisée par les actions à mener suite aux demandes des utilisateurs, et afin que ces derniers puissent jouir de manière certaine de leurs droits.
La protection des données doit être prise en compte dès la conception d'une application ou d'un traitement (minimisation de la collecte de données au regard de la finalité, cookies, durées de conservation, mentions d’information, recueil du consentement, sécurité et confidentialité des données, s’assurer du rôle et de la responsabilité des acteurs impliqués dans la mise en oeuvre de traitements de données).
^ En cas de violation de données: L’entreprise doit mettre en place un processus clair et précis des actions à réaliser en cas de violation avérée ou signalée de données personnelles.
La procédure est la suivante: Investigation -> Actions de correction -> Notification aux autorités L'utilisateur concerné doit être notifié si la violation présente un risque élevé pour les droits et libertés de ce dernier.
Étude d'impact sur la protection
Cette étude n'est nécessaire et obligatoire seulement si le traitement de données génère un risque élevé pour les droits et libertés des personnes concernées (des effets juridiques par exemple -> voir article 35, paragraphe 3, alinéa a)
L’étude d’impact sur la protection des données permet de bâtir un traitement de données personnelles ou un produit respectueux de la vie privée, d’apprécier les impacts sur la vie privée des personnes concernées, et de démontrer que les principes fondamentaux du règlement sont respectés.
— www.cnil.fr
La CNIL présente la checklist à suivre:
Un logiciel pour vous guider dans la réalisation de l'étude est mis à disposition par la CNIL (toujours elle): https://www.cnil.fr/fr/outil-pia-telechargez-et-installez-le-logiciel-de-la-cnil
Il présente encore quelques bugs de jeunesse mais permet d'être certain de suivre la bonne procédure.
RGPD et Livrables
La conformité au règlement doit être prouvée. Pour cela, un dossier devra être constitué regroupant plusieurs éléments:
1) La documentation sur le traitement de données réalisé:
- le registre des traitements
- les analyses d'impact si il y a lieu d'en réaliser
2) L'information envers les utilisateurs:
- les mentions d'informations sur le site
- le registre des consentements
- les processus mis en place pour répondre aux demandes
3) Les contrats qui définissent les rôles des acteurs:
- avec les sous-traitants
- les actions en cas de violation de données
- les preuves de consentement
Conclusion sur les actions liées au RGPD
Ce nouveau règlement peut paraître de premier abord très complexe (bon, il l'est un peu...). mais de manière globale, si le règlement précédent (datant de 1995) était déjà respecté, le travail supplémentaire à mettre en œuvre pour se conformer reste relativement restreint.
Le RGPD peut paraître un peu lourd à traiter pour les entreprises du web à cause de certains flous toujours présents, mais la mise en application du règlement est prévue le 25 mai 2018, et il ne faut pas oublier qu'il nous permet un élargissement de nos droits à tous en tant qu'utilisateur !
Commentaires
Il n'y a actuellement aucun commentaire. Soyez le premier !