Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016
RGPD (source CNIL) (lien vers le règlement intégral)
Pour garantir une meilleure maîtrise des données personnelles et renforcer le droit des personnes, le Règlement Général sur la Protection des Données (RGPD) est entré en application le 25 mai 2018. Tout organisme (public et privé) traitant des données personnelles est tenu de se conformer au RGPD.
Qu’est-ce qu’une donnée personnelle (CNIL) ?
Toute information, identifiant directement ou indirectement une personne physique (ex. nom, no d’immatriculation, no de téléphone, photographie, date de naissance, commune de résidence, empreinte digitale, adresse IP, ADN, numéro de sécurité sociale, donnée biométrique, ensemble d’informations permettant de discriminer une personne au sein d’une population tels que, donnée physique, physiologique, génétique, psychique, économique, culturelle, sociale, la voix, une photo, lieu de résidence, profession, sexe, âge…).
Qu’est-ce qu’un traitement de données à caractère personnel (CNIL) ?
Toute opération, ou ensemble d’opérations, portant sur de telles données, quel que soit le procédé utilisé (collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission ou toute autre forme de mise à disposition, rapprochement ou interconnexion, verrouillage, effacement ou destruction, …)
Un traitement de données personnelles n’est pas nécessairement informatisé : les fichiers papier sont également concernés et doivent être protégés dans les mêmes conditions.
Qui est concerné ?
Le RGPD s’applique à toute organisation (entreprise, association, collectivité, publique et privée) qui traite des données personnelles pour son compte ou non. Le RGPD concerne aussi les sous-traitants qui traitent des données personnelles pour le compte d’autres organismes.
Ainsi, si vous traitez ou collectez des données pour le compte de vos clients, vous avez des obligations spécifiques pour garantir la protection des données qui vous sont confiées. Vous devez permettre aux personnes dont les données personnelles font l’objet d’un traitement, de maîtriser leurs données en leur conférant des droits d’accès, de rectification, d’effacement, d’opposition, etc.
Exemple : Votre expert-comptable collecte et traite certaines de vos données personnelles ainsi que les données personnelles de ses salariés, il est concerné à double titre.
https://www.youtube.com/watch?v=62xV4JKn_HA (cliquez pour voir la vidéo)
Améliorer la sécurité des données de votre entreprise.
L’actualité témoigne d’un nombre de plus en plus important de failles de sécurité et d’attaques informatiques. Ces dernières peuvent avoir des conséquences désastreuses sur l’activité des entreprises. Le niveau de sécurité de l’entreprise dans sa globalité se pose, ainsi les données personnelles doivent faire l’objet de mesures de sécurité particulières, informatiques et physiques.
Rassurer vos clients et donneurs d’ordre et ainsi développer votre activité.
Dans tous les secteurs d’activité, vos clients seront très attentifs à la mise en œuvre du RGPD par leurs prestataires. Il s’agit donc d’un sujet crucial pour les sous-traitants qui traitent des données personnelles pour le compte d’entreprises, à la fois pour maintenir leurs relations commerciales existantes mais également pour éventuellement en conquérir de nouvelles. Si vous respectez le RGPD, vous aurez un avantage concurrentiel !
Tri des données collectées et stockées
Pour chaque registre créé, vérifiez :
- Que les données que vous traitez sont nécessaires à vos activités (par exemple, il n’est pas utile de savoir si vos salariés ont des enfants, si vous n’offrez aucun service ou rémunération attachée à cette caractéristique).
- Que vous ne traitez aucune donnée dite « sensible » ou, si c’est le cas, que vous avez bien le droit de les traiter.
- Que seules les personnes habilitées ont accès aux données dont elles ont besoin.
- Que vous ne conservez pas vos données au-delà de ce qui est nécessaire.
À cette occasion, améliorez vos pratiques !
Minimisez la collecte de données, en éliminant de vos formulaires de collecte et vos bases de données toutes les informations inutiles.
Redéfinissez qui doit pouvoir accéder à quelles données dans votre entreprise.
Pensez à poser des règles automatiques d’effacement ou d’archivage au bout d’une certaine durée dans vos applications.
Respecter les droits des personnes
Informez les personnes À chaque fois que vous collectez des données personnelles, le support utilisé (formulaire, questionnaire, etc.) doit comporter des mentions d’information.
Vérifiez que l’information comporte notamment les éléments suivants :
- Pourquoi vous collectez les données (« la finalité » ; par exemple pour gérer l’achat en ligne du consommateur).
- Ce qui vous autorise à traiter ces données (le « fondement juridique » : il peut s’agir du consentement de la personne concernée, de l’exécution d’un contrat, du respect d’une obligation légale qui s’impose à vous, de votre « intérêt légitime »).
- Qui a accès aux données (indiquez des catégories : les services internes compétents, un prestataire, etc.).
- Combien de temps vous les conservez (exemple : 5 ans après la fin de la relation contractuelle).
- Les modalités selon lesquelles les personnes concernées peuvent exercer leurs droits (via leur espace personnel sur votre site internet, par un message sur une adresse email dédiée, par un courrier postal à un service identifié).
- Si vous transférez des données hors de l’Union européenne (précisez le pays et l’encadrement juridique qui maintient le niveau de protection des données).
- Pour éviter des mentions trop longues au niveau d’un formulaire en ligne, vous pouvez par exemple, donner un premier niveau d’information en fin de formulaire et renvoyer à une politique de confidentialité sur votre site internet.
À l’issue de cette étape, vous avez répondu à votre obligation de transparence.
Permettre aux personnes d’exercer facilement leurs droits
Les personnes dont vous traitez les données (clients, collaborateurs, prestataires, etc.) ont des droits sur leurs données, qui sont d’ailleurs renforcés par le RGPD : droit d’accès, de rectification, d’opposition, d’effacement, à la portabilité et à la limitation du traitement.
Vous devez leur donner les moyens d’exercer effectivement leurs droits.
Si vous disposez d’un site web, prévoyez un formulaire de contact spécifique, un numéro de téléphone ou une adresse de messagerie dédiée. Si vous proposez un compte en ligne, donnez à vos clients la possibilité d’exercer leurs droits à partir de leur compte.
Mettez en place un processus interne permettant de garantir l’identification et le traitement des demandes dans des délais courts (1 mois au maximum).
Bonne pratique : La réactivité !
Bien traiter les demandes des consommateurs quant à leurs données personnelles, c’est :
- Renforcer la confiance qui sécurise la relation-client.
- Vous mettre à l’abri de critiques sur les réseaux sociaux, ou de réclamations auprès de la CNIL.
Sécurisation des données
Vous êtes tenu d’assurer la sécurité des données personnelles que vous détenez
Garantissez-vous contre les risques de pertes de données ou de piratage.
Les mesures à prendre, informatiques ou physiques, dépendent de la sensibilité des données que vous traitez et des risques qui pèsent sur les personnes en cas d’incident.
Différentes actions doivent être mises en place : mises à jour de vos antivirus et logiciels, changement régulier des mots de passe et utilisation de mots de passe complexes, ou chiffrement de vos données dans certaines situations.
En cas de perte ou vol d’un outil informatique, il sera plus difficile pour un tiers d’y accéder.
Les failles de sécurité ont également des conséquences pour ceux qui vous ont confié des données personnelles. Ayez à l’esprit les conséquences pour les personnes de la perte, la divulgation, la modification non souhaitée de leurs données, et prenez les mesures nécessaires pour minimiser ces risques.
Sécurisation des Sensibiliser les utilisateurs travaillant avec des données à caractère personnel :
Les informer des mesures prises pour traiter les risques et des conséquences potentielles en cas de manquement. Organiser une séance de sensibilisation, envoyer régulièrement les mises à jour des procédures pertinentes pour les fonctions des personnes, faire des rappels par messagerie électronique, etc.
Documenter les procédures d’exploitation, les tenir à jour et les rendre disponibles à tous les utilisateurs concernés. Concrètement, toute action sur un traitement de données à caractère personnel, qu’il s’agisse d’opérations d’administration ou de la simple utilisation d’une application, doit être expliquée dans un langage clair et adapté à chaque catégorie d’utilisateurs, dans des documents auxquels ces derniers peuvent se référer.
Rédiger une charte informatique et lui donner une force contraignante (ex. annexion au règlement intérieur).
Cette charte devrait au moins comporter les éléments suivants :
- Le rappel des règles de protection des données et les sanctions encourues en cas de non-respect de celles-ci.
- Le champ d’application de la charte, qui inclut notamment :
- Les modalités d’intervention des équipes chargées de la gestion des ressources informatiques de l’organisme.
- Les moyens d’authentification utilisés par l’organisme.
Les règles de sécurité auxquelles les utilisateurs doivent se conformer, ce qui doit inclure de :
- Signaler au service informatique interne toute violation ou tentative de violation suspectée de son compte informatique et de manière générale tout dysfonctionnement.
- Ne jamais confier son identifiant/mot de passe à un tiers.
- Ne pas installer, copier, modifier, détruire des logiciels sans autorisation.
- Verrouiller son ordinateur dès que l’on quitte son poste de travail.
- Ne pas accéder, tenter d’accéder, ou supprimer des informations si cela ne relève pas des tâches incombant à l’utilisateur.
- Respecter les procédures préalablement définies par l’organisme afin d’encadrer les opérations de copie de données sur des supports amovibles, notamment en obtenant l’accord préalable du supérieur hiérarchique et en respectant les règles de sécurité.
Les modalités d’utilisation des moyens informatiques/télécommunications mis à disposition comme :
- Le poste de travail.
- Les équipements nomades (notamment dans le cadre du télétravail).
- Les espaces de stockage individuel.
- Les réseaux locaux.
- Les conditions d’utilisation des dispositifs personnels.
- L’Internet.
- La messagerie électronique.
- La téléphonie.
Exemple : Vous êtes restaurateur et vous livrez à domicile. Vos clients vous communiquent leur adresse précise et le code d’entrée de leur immeuble. Si ces informations sont piratées ou perdues, elles peuvent être utilisées pour s’introduire frauduleusement au domicile de votre client.
Conséquence désastreuse pour vos clients, mais aussi pour vous !
Bonne pratique
Pour évaluer le niveau de sécurité des données personnelles dans votre entreprise, voici quelques questions à se poser :
- Les comptes utilisateurs internes et externes sont-ils protégés par des mots de passe d’une complexité suffisante ?
- Les accès aux locaux sont-ils sécurisés ?
- Des profils distincts sont-ils créés selon les besoins des utilisateurs pour accéder aux données ?
- Avez-vous mis en place une procédure de sauvegarde et de récupération des données en cas d’incident ?
Quel est le rôle de la CNIL ?
La Commission nationale de l’informatique et des libertés, (CNIL) est le régulateur français des données personnelles.
La CNIL informe et conseille les acteurs privés et publics dans la mise en œuvre de leur conformité en matière de protection des données personnelles.
Elle reçoit et traite les réclamations des personnes physiques. Elle dispose des pouvoirs de contrôles sur place ou en ligne.
Elle peut imposer à un acteur de régulariser son traitement (mise en demeure) ou prononcer des sanctions (amende, etc.).
Signalez à la CNIL les violations de données personnelles
Votre entreprise a subi une violation de données (des données personnelles ont été, de manière accidentelle ou illicite, détruites, perdues, altérées, divulguées ou vous avez constaté un accès non autorisé à des données) ?
Vous devez la signaler à la CNIL dans les 72 heures si cette violation est susceptible de représenter un risque pour les droits et libertés des personnes concernées. Cette notification s’effectue en ligne sur le site internet de la CNIL.
Si ces risques sont élevés pour ces personnes, vous devrez les en informer.
À l’issue de cette étape, vous serez en capacité d’assurer une protection des données personnelles en continu et de faire face aux incidents.
1 Ne collectez que les données vraiment nécessaires.
Posez-vous les bonnes questions : Quel est mon objectif ?
Quelles données sont indispensables pour atteindre cet objectif ? Ai-je le droit de collecter ces données ?
Est-ce pertinent ? Les personnes concernées sont-elles d’accord ?
2 Soyez transparent.
Une information claire et complète constitue le socle du contrat de confiance qui vous lie avec les personnes dont vous traitez les données.
3 Pensez aux droits des personnes.
Vous devez répondre dans les meilleurs délais, aux demandes de consultation, de rectification ou de suppression des données.
4 Gardez la maîtrise de vos données.
Le partage et la circulation des données personnelles doivent être encadrées et contractualisées, afin de leur assurer une protection à tout moment.
5 Identifiez les risques.
Vous traitez énormément de données, ou bien des données sensibles ou avez des activités ayant des conséquences particulières pour les personnes, des mesures spécifiques peuvent s’appliquer.
6 Sécurisez vos données.
Les mesures de sécurité, informatique mais aussi physique, doivent être adaptées en fonction de la sensibilité des données et des risques qui pèsent sur les personnes en cas d’incident.