les clés en RGPD

RGPD : les points clés essentiels

Qu'est ce que le RGPD ?

Le RGPD (Règlement Général de Protection des Données) est rentré en vigueur le 25 mai 2018. Mais il a été adopté par l’union européenne le 14 avril 2016.

Mais force est de constater que bon nombre d’organisation (privées & publiques) ne savent pas ce que recouvre ce texte…et encore moins quels sont les impacts. C’est pourquoi, il est toujours bon de commencer par le commencement…à savoir quelques définitions importantes :

Qu’est qu’une donnée personnelle ?

Sur la base de l’article 4 alinéa 1 du Chapitre 1 du RGPD :

« toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée « personne concernée »); est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale»

Outre le nom, prénom, adresse postale,etc… cela inclut aussi des éléments indirectes comme le numéro de téléphone, adresse IP, numéro de client, numéro de carte bancaires, etc…  mais aussi des éléments encore plus indirects comme des données qui déduisent l’attachement à une personne (achats, déplacements, centre d’intérêts,…). En bref, il n’ y a pas beaucoup d’éléments qui échappent à cette définition. A contrario, parmi les rares exceptions, une adresse email de type « contact@monentreprise.com » n’est pas une donnée de type personnelle car il n’y a pas de personne directement affectée à cet email. Evidemment il peut y avoir une personne qui traite les emails reçus… Mais ce n’est pas forcément la même et cela peut changer.

Qu’est qu’un traitement de donnée ?

Sur la base de l’article 4 alinéa 2 du chapitre 1 du RGPD :

« Un traitement regroupe toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction

Remarque importante : Le traitement de données personnelles N’EST PAS le traitement informatique. Il concerne aussi le traitement papier des données. Il faut raisonner en terme de finalité (objectif, à quoi ça sert) et non en applications et logiciels.

Parmi les traitements les plus connus, on peut trouver :

  • Sécurité des biens et des personnes : registre à l’accueil, vidéosurveillance, etc.
  • Gestion du personnel : formation, gestion administrative, etc.
  • Recrutement du personnel : gestion des CV, etc..
  • La communication d’informations commerciales : newsletter, publipostage,etc.
  • Suivi commercial : CRM, fiches papiers clients et prospects

Qui sont les grands acteurs du RGPD ?

Nous avons 3 grandes catégories d’acteurs :

  • «responsable du traitement», la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l’Union ou le droit d’un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l’Union ou par le droit d’un État membre;
  • «sous-traitant», la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement;
  • Les autres catégories que l’on regroupe volontairement. Dans ce groupe on trouve les notions suivantes :
    • «destinataire», la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui reçoit communication de données à caractère personnel, qu’il s’agisse ou non d’un tiers. Toutefois, les autorités publiques qui sont susceptibles de recevoir communication de données à caractère personnel dans le cadre d’une mission d’enquête particulière conformément au droit de l’Union ou au droit d’un État membre ne sont pas considérées comme des destinataires; le traitement de ces données par les autorités publiques en question est conforme aux règles applicables en matière de protection des données en fonction des finalités du traitement;
    • «tiers», une personne physique ou morale, une autorité publique, un service ou un organisme autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, placées sous l’autorité directe du responsable du traitement ou du sous-traitant, sont autorisées à traiter les données à caractère personnel;

Ce qu’il faut retenir :

L’entreprise ou l’organisation est appelée « responsable du traitement » , il porte évidemment la responsabilité de la mise en place des processus qui peuvent être affecté par le RGPD.

La notion de sous-traitant est très importante car bien souvent, au titre du RGPD, il est peu être co-responsable au même titre que le responsable de traitement. Il est important donc de savoir ce que l’on confie à son sous-traitant et surtout comment il sécurise les données qu’il traite. C’est pourquoi, il devient imortant de s’assurer que vos sous-traitants sont bien conformes.

De plus au sein des organisations, on parle souvent de DPO : Data Protection officer ou en français DPD, Délégué à la Protection des Données. Pour résumer c’est la personne référente qui aide le chef d’entreprise à être conforme. Cela peut aussi être fait par une entreprise tierce dans le cadre d’un contrat de service. A noter que pour les organisation de plus de 250 salariés, cette personne est obligatoire. En dessous…c’est fortement apprécié de la CNIL !

sécurisation système d'information et sécurité numérique

Faites appel à EveilDigital pour votre RGPD

Audits, formations et accompagnements

RGPG : Les grands enjeux

Une fois le cadre des définitions posés, il faut aussi avoir en tête les enjeux. Il y’en a de multiples mais 3 points particuliers sont à noter :

  1. La sécurité des données
  2. La collecte du consentement
  3. L’exercice des droits des personnes (droit à l’oubli)

La sécurité des données :

C’est évidemment l’un des enjeux principaux. Cet élément concerne toutes les mesures techniques et organisationnelles que peut mettre en place une organisation.

Il s’agit avant tout que l’entreprise démontre qu’elle a mis en place des solutions techniques (chiffrement, politique de mot de passe, scéurité des ordinateurs et du réseau, etc..;) mais aussi ET surtout des solutions organisationnelles. En effet, sur ce point, il est fondamental qu’il y’ ait un accompagnement et une sensibilisation des personnes. Le maillon faible de la sécurité informatique est souvent l’humain. Ainsi, selon Proofpoint, « la nature humaine est la vulnérabilité ultime ». Il est important de commencer par la base : les mots de passe ! « toto2019 » n’est pas un mot de passe sécurisé ! Il convient de faire évoluer les pratiques sur ce point. Ce n’est pas un sujet nouveau…mais cela participe à votre conformité RGPD. Nul besoin de surinvestir dans des pare-feux trop chers si vous n’avez pas définis une politique de sécurité…ou tout simplement une charte informatique.

De nombreuses solutions existent : des plateformes contributives sécurisées, des solutions de mots de passe simples, etc….

La collecte du consentement

Pierre angulaire des actions commerciales, le RGPD définit ce point de la façon suivante :

«consentement» de la personne concernée, toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement;

Ce point est particulièrement important quand vous mettez en place un formulaire de contact sur votre site web….et si, de plus, vous réalisez un suivi via un CRM. Ici, on rentre de plein pied dans la gestion des cookies. A noter que la CNIL a mis a jour des lignes directrices sur les règles. Un communiqué en date du 28 Juin 2019 fait état de cette mise à jour. Mais il est d’ores et déjà important de noter que la CNIL laissera aux acteurs une période transitoire de 12 mois. Autant dire qu’il faudra faire évoluer de nombreux sites web !

L’exercice des droits des personnes

Ce chapitre concerne la capacité de l’organisation à répondre aux demandes des personnes sur les données personnelles qu’elle a en sa possession.

En effet, une personne peut demander essentiellement :

  • Une information : la personne veut savoir quelles données vous avez sur elle
  • Des modifications : mise à jour de ses données. Ce point est encore plus important s’il s’agit d’informations dites « sensibles » comme des données de santé.
  • Une suppression (ou droit à l’oubli): la personne veut que l’on supprime toute trace de ses informations

L’exercice de ces droits nécessite d’être structuré et organisé. Cela ne s’improvise pas. D’autant plus que la CNIL exige une réponse dans un délai maximum d’1 mois. 

Vos solutions en RGPD

Tout cela peut faire peur, mais rassurez vous ! Il est important de s’y prendre avec méthode et de s’appuyer sur les compétences les plus appropriées pour rendre opérationnel les points les plus importants.

C’est pourquoi, nous avons mis en place « monRGPD.online » pour simplifier et faciliter la mise en place de l’ensemble des premiers éléments prouvant votre conformité RGPD (par exemple : le fameux registre des traitements).

Nous croyons fortement à une démarche pragmatique, adaptée aux contraintes de l’entreprise pour que votre conformité se fasse de la manière la plus sereine possible avec en prime un retour sur investissement indéniable: surtout pour les petites et moyennes entreprises.