Le RGDP c'est quoi ?
Le RGPD (GDPR en anglais) est le Règlement Général de Protection des Données, règlement européen entré en application le 25 mai 2018. Cette loi concerne le traitement et la collecte des données personnelles de tous les citoyens européens pour toutes les entreprises, quelle que soit leur nationalité.
Pour sa mise en oeuvre, le site de la Commission National de l'Informatique et des Libertés (CNIL) a réalisé un article intitulé "Comment se préparer au RGPD en 6 étapes" de manière à accompagner les particuliers et les entreprises, mais aussi "RGPD, par où commencer ?". La BPI a également proposé un "guide de bonnes pratiques pour les TPE et PME" qu'il convient de parcourir.
Quelles conséquences sur mon site ou mes services digitaux ?
La mise en place du RGPD a des conséquences immédiates sur les sites et applications web, e-commerces, blogs, intranet ou extranet ; et plus largement dans tous vos services numériques ce qui inclut aussi tous vos contrats. Fort de notre expérience et de notre collaboration avec un cabinet juridique spécialisé, Naes accompagne ses Clients dans les actions qu'il va être nécessaire d'entreprendre : c'est notre rôle en tant qu'agence conseil. Voici ci-après un mini-guide utile pour les grandes étapes à réaliser. Evidemment nous sommes là pour vous accompagner dans ce travail.
Je souhaite être conseillé sur le RGPD
Quelles sont les étapes à suivre pour être en conformité ?
Rappelons d'abord que le RGPD est une obligation de moyen et non de résultat. Cependant, il est fortement conseillé de suivre l’ensemble des étapes suivantes afin d’être en règle avec les mesures énoncées par la CNIL.
Désigner un responsable du traitement des données
En général et comme évoqué par la CNIL il s’agira du représentant légal de la société.
Il peut être également obligatoire de nommer un DPO (Délégué à la protection des données) et le signaler à la CNIL. La nomination d'un DPO concerne les entreprises qui intègrent un des critères suivants :
- Être une autorité ou un organisme public ;
- Avoir une activité nécessitant un suivi régulier et systématique des personnes à grande échelle ;
- Traiter de données sensibles comme celles qui se rattachent à l’origine raciale, aux opinions politiques, philosophiques ou religieuses, à la santé, vie sexuelle etc.
Le DPO sera donc celui qui assure le traitement et la bonne tenue du registre des données (voir ci-dessous). Il doit à la fois avoir un bagage juridique et technique. Pour savoir comment bien le désigner se référer à https://www.cnil.fr/fr/designation-dpo
Tenir un registre de la collecte et du traitement des données
Ce registre (modèle disponible ici : https://www.cnil.fr/sites/default/files/atoms/files/registre_rgpd_basique.pdf ) vous permettra de recenser le type de données que vous collectez (fichiers clients/prospects, gestion de la paye, recrutement), les données utilisés pour chacun d’entre eux (noms, prénoms, âge,etc.), qui a accès à ces données (rh en interne, prestataires (nous par exemple), hébergeurs…) et combien de temps vous conservez ces données. C'est le rôle du responsable du traitement et/ou du DPO de s'en charger.
Trier ces données afin de prouver que leurs attributs sont bien utiles à votre métier.
Par exemple, si vous possédez des données sur les âges ou le nombre d’enfants de vos salariés, vous devrez être en mesure de prouver que ces données sont nécessaires pour l’accomplissement de vos activités. Attention : si parmi vos données traitées, certaines figures parmi cette liste disponible ici : https://www.cnil.fr/fr/analyse-dimpact-relative-la-protection-des-donnees-publication-dune-liste-des-traitements-pour vous serez dans l’obligation légale de mener une AIPD – Analyse d’impact relative à la protection des données qui sera à transmettre à la CNIL. Cette analyse peut se faire via un logiciel open-source proposé par la CNIL (https://www.cnil.fr/fr/analyse-dimpact-la-version-20-de-loutil-pia-est-disponible ) ou sous forme de document numérique.
Respecter le bon droit des personnes
Sur chaque formulaire d’un site ou d’une application, il est essentiel d’informer les personnes sur la raison de la collecte de leurs données et la finalité, ce qui vous autorise à y procéder (contrat, fondement juridique), les personnes y ayant accès (tierces également), le temps de conservation de ces données, le moyen mis à disposition aux personnes pour exercer leurs droits (adresse email pour demander la suppression de leurs données, accès à leur profil d’utilisateur connecté sur une plateforme et être en mesure de modifier/supprimer leurs données), faire savoir si vous transmettez ces données hors de L’UE et de son champ juridique.
Il est alors pratique de renvoyer pour chaque formulaire vers votre politique de confidentialité à jour ou de créer une charte dédiée RGPD (voir plus bas).
Sécuriser vos données
Ici il s’agit de respecter en interne de bonnes pratiques comme l’utilisation de mots de passes suffisamment compliqués sur les plateformes permettant d’accéder à des données personnelles et le renouvellement régulier de ceux-ci. Il est également primordial de tenir à jour vos logiciels, sites et applications web à jour afin de limiter fortement les risques de piratage.
Intégrer la sous-traitance
Les sous-traitants ont des obligations en termes de sécurité, de confidentialité et de documentation de leur activité. Ils se doivent d’intégrer les mesures relatives aux données personnelles dès la conception de leur outils et logiciels ‘privacy by design’.
La CNIL Nous dit que « Les sous-traitants ont également une obligation de conseil auprès de leurs clients (exemple : insister auprès de ses clients pour les mises à jour de logiciel). Ils doivent les aider dans la mise en œuvre de certaines obligations du règlement (exemple : étude d’impact sur la vie privée, notification de violation de données, sécurité, etc.). Les sous-traitants doivent enfin tenir un registre des activités de traitement effectuées pour le compte de leurs clients en complément de leurs propres traitements ! Pour déterminer les obligations respectives des responsables de traitements et de leurs sous-traitants, il est nécessaire de rédiger un contrat. Ce contrat doit prévoir une clause spécifique sur la protection des données personnelles. Des exemples de clauses sont disponibles sur le site internet de la CNIL. »
De plus, la responsabilité entre un prestataire et un client est liée. La CNIL peut punir un sous-traitant travaillant avec un client non compliant et un client peut être puni pour travailler avec un prestataire non compliant. edit 20/12/2018 : M.Samadja nous dit que la responsabilité est surtout du côté du responsable de traitement.
Réaliser une charte RGPD (à diffuser sur son site)
Via cette charte dédiée ou via la mise à jour de la politique de confidentialité du site il est nécessaire de rappeler la finalité du traitement des données, l'objectif au regard des activités de la société, si les données transitent auprès de prestataires tierces et quels types, où sont hébergées les données, donner une possibilité l'internaute de demander la suppression de celles-ci en indiquant l'email du responsable des données ou en créant un formulaire spécifique à cet usage. Il doit être également indiqué le temps de conservation des données...
Les étapes précédemment décrites de 1 à 6 sont donc primordiales avant d'écrire cette charte.
Vérifier les Conditions Générales de Vente (CGV) et les mentions légales de vos contrats commerciaux avec vos sous-traitants
Les contrats doivent être mis à jour par avenant en indiquant exactement dans quelle mesure il y a traitement des données et pour quelle finalité exactement dans le même esprit que pour la charte RGPD.
Il faut noter que tout niveau de nouvelle sous-traitance doit être spécifiquement indiqué au client. La CNIL nous dit que : " En tant que sous-traitant, vous ne pouvez recruter un autre sous-traitant qu’après avoir obtenu l’autorisation écrite de votre client. Cette autorisation peut être, au choix des parties : 1. spécifique, c’est-à-dire accordée pour un sous-traitant particulier ou 2. générale, vous devrez informer votre client de tout changement envisagé concernant l’ajout ou le remplacement de sous-traitants, permettant ainsi à votre client d’émettre des objections sur ces changements. Le sous-traitant que vous recrutez est soumis aux mêmes obligations que celles prévues dans votre contrat avec votre client responsable de traitement. Il doit en particulier présenter des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées pour que le traitement soit conforme au règlement européen. Si le sous-traitant que vous recrutez ne respecte pas ses obligations, vous êtes pleinement responsable vis-à-vis du responsable de traitement de l’exécution par ce sous-traitant de ses obligations "
Mettre à jour vos sites web
Le site web devra comporter un bandeau de cookie adapté à la nouvelle norme RGPD et un panneau permettant à l'utilisateur de personnaliser le suivi de ses données sur le site qui seraient collectées via certains cookies.
De plus, comme évoqué en point 4, l'utilisateur doit pouvoir connaitre ses droits et cocher une case explicite sur chaque formulaire récupérant ses données (nom, prénom email etc..). Pour plus de simplicité, vous pouvez rediriger la personne vers votre charte RGPD ou politique de confidentialité mise à jour.
Si le site comporte une connexion avec un compte utilisateur, ce compte doit lui fournir un accès afin de modifier toutes ses données de profil et lui permettre de le supprimer de manière définitive ainsi que ses données liées.
C'est toujours obscur ? N'hésitez pas et contactez nous dès maintenant