Qui est concerné ?
Le RGPD concerne toutes les entreprises qui traitent des données personnelles pour son compte, ou non, dès lors qu’elle est établie sur le territoire de l’Union européenne ou que son activité cible directement des résidents européens.
♦ Je suis établi en dehors de l’Union européenne, je propose des sites de e-commerce en français et livre des produits en France : je dois respecter les obligations du RGPD.
En outre, les entreprises traitant des données personnelles pour le compte d’autres organismes (les sous-traitants) sont aussi concernés par le RGPD et soumis à des obligations spécifiques.
Remarque : les obligations du RGPD reposent principalement sur des critères de volume ou de sensibilité des données ; et non la taille de l’entreprise. Dès lors, si le traitement de données personnelles n’est pas au coeur de votre activité, les actions de mise en conformité resteront relativement simples à mettre en oeuvre.
Qu’est qu’une donnée personnelle ?
Une donnée personnelle est toute information se rapportant à une personne physique identifiée ou identifiable.
Par exemple, une personne est identifiée directement lorsque son nom apparaît dans un fichier. Mais elle peut aussi être identifiée indirectement et donc identifiable via un numéro de client, un numéro de téléphone, une donnée biométrique, des éléments propres à son identité physique, physiologique, génétique, économique, culturelle, etc.
Cette identification peut ainsi découler d’une seule donnée, telle qu’un numéro de sécurité sociale ; ou bien être obtenue à partir d’un croisement de données.
Quelles sont les actions à mettre en oeuvre en priorité ?
La CNIL conseille la mise en oeuvre de 4 actions principales, à déployer dès aujourd’hui :
1. Recensez vos fichiers afin de tenir un registre à jour (modèle de registre de la CNIL)
Pour cela, il est nécessaire d’identifier les activités principales de votre entreprise qui nécessite la collecte et le traitement de données ; puis d’établir pour chaque activité une fiche précisant :
- l’objectif poursuivi du traitement
- les catégories de données utilisées
- qui a accès aux données
- la durée de conservation des données
2. Faites le tri dans vos données
Pour chaque fiche de registre créée, la CNIL conseille de vérifier :
- que les données traitées sont vraiment nécessaires aux activités de l’entreprises
- que seules les personnes habilitées ont accès aux données dont elles ont besoin
- que vous ne conservez pas vos données au-delà de ce qui est nécessaire
Il est indispensable de poser des règles automatiques d’effacement ou d’archivage au bout d’une certaine durée dans vos applications.
3. Respectez les droits des personnes
Pour cela, il est nécessaire de faire apparaître les mentions d’informations obligatoires à chaque fois que des données personnelles sont collectés sur le support utilisé, et notamment les éléments suivants :
- la finalité du traitement ou autrement dit pourquoi vous collectez les données
- le fondement juridique ou autrement dit ce qui vous autorise à traiter ces données (il peut alors s’agir du consentement de la personne concernée, de l’exécution d’un contrat, du respect d’une obligation légale ou de votre « intérêt légitime »)
- les services ou personnes ayant accès à ces données
- la durée de conservation de ces données
- les modalités selon lesquelles les personnes concernées peuvent exercer leurs droits (exemple : via leur espace personnel sur le site internet ; par courrier postal ou mail à une adresse identifiée)
Vous pouvez faire apparaître ces mentions dans votre formulaire de contact, ou renvoyer à une autre page du site aux côtés des autres mentions légales obligatoires par exemple.
IMPORTANT : Vous devez mettre en place tous les moyens nécessaires aux personnes pour qu’elles puissent exercer leurs droits : droit d’accès, de rectification, d’opposition, d’effacement, à la portabilité et à la limitation du traitement. Cela pourra s’illustrer par la mise en place d’un processus interne de traitements des demandes des clients, consommateurs, et prestataires.
4. Sécurisez vos données
Selon la sensibilité des données que vous traitez, différentes actions doivent être mises en place. La CNIL conseille ainsi de :
- mettre à jour les antivirus et logiciels
- changer régulièrement de mots de passe
- utiliser des mots de passe complexes
- chiffrer les données dans certaines situations
La CNIL met à votre disposition un document permettant d’évaluer le niveau de sécurité des données personnelles dans votre entreprise.
Devez-vous conduire une analyse d’impact (privacy impact assessment) ?
Pour certains types de données et de traitements, une vigilance plus spécifique sera requise, entraînant de nouvelles obligations. Ainsi, le RGPD prévoit que l’organisme devra conduire une analyse d’impact sur la protection des données, lorsqu’au moins 2 des 9 critères suivants sont remplis :
- le traitement concerne l’évaluation d’aspects personnels ou la notation d’une personne (exemple : scoring financier)
- le traitement a pour effet une prise de décision automatisée
- le traitement a pour objet la surveillance systématique de personne (exemple : télésurveillance)
- le traitement concerne des données sensibles (exemple : santé, biométrie, etc.)
- le traitement concerne des données relatives à des personnes vulnérables (exemple : mineurs)
- le traitement s’effectue à grande échelle
- le traitement est un croisement d’ensembles de données
- la finalité du traitement est l’application de nouvelles technologies (exemple : objet connecté)
- le traitement a pour effet l’exclusion du bénéfice d’une droit, d’un service ou contrat (exemple : liste noire)
L’analyse d’impact doit être menée avant la mise en oeuvre du traitement, démarrée le plus en amont possible et mise à jour tout au long du cycle du traitement. Afin d’accompagner les professionnels dans la mise en oeuvre de l’analyse d’impact, la CNIL propose un logiciel libre PIA disponible ici.