Mettre en conformité RGPD son entreprise en 2022
Inovency, cabinet de conseil en transformation digitale, propose son expertise pour vous accompagner dans votre mise en conformité RGPD.
Devenue obligatoire, cette mise en conformité demande méthodologie et patience, et peut s’avérer très couteuse en cas de non-respect. La Cnil avit déjà sévi plusieurs fois, notamment avec l’amende record de 3 millions au groupe Carrefour.
En 28 janvier 2022, à l’occasion de la journée de la protection des données, la CNIL fait le bilan de son action répressive.
2021 aura été une année sans précédent, tant par le nombre de mesures adoptées (18 sanctions et 135 mises en demeure) que par le montant cumulé des amendes, qui atteint plus de 214 millions d’euros.
Les décisions ont concerné des secteurs d’activité et des acteurs très divers. Parmi les manquements les plus fréquents figurent le défaut d’information des personnes et des durées de conservation excessives. Sur ces 18 sanctions, la moitié comporte un manquement en lien avec la sécurité des données personnelles, ce qui illustre selon la CNIL deux choses :
- les mesures de sécurité prises par les organismes restent souvent insuffisantes ;
- que la CNIL vérifie systématiquement la sécurité des systèmes d’information lorsqu’elle effectue un contrôle.
Alors pour savoir par quelle étape commencer, n’hésitez pas à solliciter notre cabinet spécialisé en accompagnement RGPD.
Le rapport d’activité de l’année 2021 de la CNIL fait apparaitre une multiplication des réclamations et des failles de sécurité des données :
- Un nombre record de mises en demeure (décision de la présidente de la CNIL ordonnant à un organisme de se mettre en conformité dans un délai maximum de 6 mois) a également été atteint en 2021, avec 135 décisions prononcées, dont 2 rendues publiques (à l’encontre de Clearview et de Francetest) et 3 adoptées dans le cadre de la coopération européenne.
Cela représente une augmentation très conséquente du nombre de mises en demeure par rapport aux années précédentes.
- Une part importante de ces mises en demeure a porté sur la thématique prioritaire des cookies : 89 décisions comportent un manquement en lien avec l’utilisation des traceurs (dont 84 sont pleinement consacrées à cette question).
En parallèle, la CNIL a clos 123 dossiers (procédures de sanction et de mise en demeure) à l’issue, notamment, de l’examen des actions prises par les organismes pour se mettre en conformité.
Instaurée en 2018, la loi RGPD permet de limiter l’utilisation des données personnelles par les entreprises européennes. Cette loi complexe, doit scrupuleusement être respectée sous peine de voir son entreprise gravement financièrement sanctionnée.
Pour être sûr d’être en règle avec cette mise en conformité, consultez notre offre RGPD .
Inovency vous accompagne du début à la fin de votre processus de mise en conformité.
1.Qu’est-ce que la RGPD ?
Le Règlement général sur la protection des données (RGPD) est un cadre juridique qui fixe des lignes directrices pour la collecte et le traitement des informations personnelles des personnes qui vivent dans l’Union européenne (UE). Étant donné que le règlement s’applique indépendamment du lieu où les sites web sont basés, il doit être respecté par tous les sites qui attirent des visiteurs européens, même s’ils ne commercialisent pas spécifiquement des biens ou des services aux résidents de l’UE.
Le RGPD exige que les visiteurs de l’UE soient informés d’un certain nombre de données. Le site doit également prendre des mesures pour faciliter des droits des consommateurs de l’UE tels qu’une notification en temps utile en cas de violation des données personnelles. Adopté en avril 2016, le règlement est entré pleinement en vigueur en mai 2018, après une période de transition de deux ans.
La réglementation RGPD peut être considérée comme l’ensemble de règles de protection des données le plus solide au monde, qui est conçu pour améliorer la façon dont les gens peuvent accéder aux informations les concernant. Elle impose des limites à ce que les organisations peuvent faire avec les données personnelles.
Le règlement existe en tant que cadre législatif à travers le continent et a remplacé la précédente directive de 1995 sur la protection des données. La forme finale du RGPD est née après plus de quatre ans de discussions et de négociations – elle a été adoptée par le Parlement européen et le Conseil européen en avril 2016.
La RGPD a été mise en application le 25 mai 2018. Les pays européens ont eu la possibilité d’apporter leurs propres petits changements en fonction de leurs propres besoins.
2. Quels types de données de confidentialité le RGPD protège-t-il ?
- Les informations d’identité de base telles que le nom, l’adresse et les numéros d’identification
- Les données Web telles que l’emplacement, l’adresse IP, les données de cookie et les tags RFID
- Les données sanitaires et génétiques
- Les données biométriques
- Les données raciales ou ethniques
- Les opinions politiques
- Les orientations sexuelles
Pour réussir ce parcours, plus de 51 000 organismes se sont dotés d’un DPO délégué à la protection des données interne ou externe dès 2018.
3. Qui est concerné par la RGPD ?
Le règlement RGPD affecte toutes les entreprises, mais les plus touchées seront celles qui détiennent et traitent de grandes quantités de données sur les consommateurs : les entreprises technologiques ou encore les agences spécialistes en marketing digital.
Même le respect des exigences de base en matière d’accès et de suppression des données est une lourde mission pour certaines entreprises, qui ne disposaient peut-être pas auparavant d’outils pour rassembler toutes les données qu’elles détiennent sur un individu. L’impact le plus fort est sur les entreprises dont les modèles commerciaux reposent sur l’acquisition et l’exploitation des données des consommateurs à grande échelle. Si les entreprises s’appuient sur le consentement pour traiter les données, ce consentement doit maintenant être explicite et éclairé – et renouvelé si l’utilisation change.
À qui s’applique la RGPD ?
Les données personnelles sont au cœur du RGPD. En gros, il s’agit d’informations qui permettent d’identifier une personne vivante, directement ou indirectement, à partir de données disponibles. Il peut s’agir de quelque chose d’évident, comme le nom d’une personne, des données de localisation ou un nom d’utilisateur en ligne clair, ou de quelque chose de moins évident : les adresses IP et les identifiants de cookies peuvent être considérés comme des données personnelles.
La RGPD prévoit également quelques catégories spéciales de données personnelles sensibles qui bénéficient d’une protection accrue. Ces données personnelles comprennent des informations sur l’origine raciale ou ethnique, les opinions politiques, les croyances religieuses, l’appartenance à un syndicat, les données génétiques et biométriques, les informations sur la santé et les données relatives à la vie ou à l’orientation sexuelle d’une personne.
L’élément crucial de ce qui constitue des données personnelles est qu’elles permettent d’identifier une personne – les données pseudonymisées peuvent toujours relever de la définition des données personnelles. Les données personnelles sont si importantes dans le cadre du RGPD parce que les individus, les organisations et les entreprises qui sont soit des « contrôleurs » soit des « processeurs » de ces données sont couverts par la loi.
« Les contrôleurs sont les principaux décideurs – ils exercent un contrôle global sur les objectifs et les moyens du traitement des données personnelles ». Il est également possible qu’il existe des contrôleurs conjoints de données personnelles, lorsque deux groupes ou plus déterminent la manière dont les données sont traitées.
Les sous-traitants agissent pour le compte du responsable du traitement concerné et uniquement sur ses instructions.. Les contrôleurs ont des obligations plus strictes en vertu du RGPD que les sous-traitants.
Bien qu’il provienne de l’UE, la RGPD peut également s’appliquer aux entreprises qui sont basées en dehors de la région. Si une entreprise américaine, par exemple, fait des affaires dans l’UE, la RGPD peut s’appliquer, de même que si elle est le contrôleur de citoyens européens.
4. Le principe de la responsabilité
La responsabilité aura été le principal nouveau principe du RGPD. Il a été ajouté pour que les entreprises puissent prouver qu’elles s’efforcent de se conformer aux autres principes qui constituent le règlement. Dans sa forme la plus simple, la responsabilité peut consister à documenter la manière dont les données personnelles sont traitées et les mesures prises pour garantir que seules les personnes qui doivent accéder à certaines informations le peuvent. La responsabilité peut également consister à former le personnel aux mesures de protection des données et à évaluer régulièrement les processus de traitement des données.
La « destruction, la perte, l’altération, la divulgation non autorisée ou l’accès non autorisé » de données personnelles doivent être signalés à l’autorité de réglementation de la protection des données d’un pays lorsque cela peut avoir un impact négatif sur les personnes concernées. Il peut s’agir, entre autres, de pertes financières, de violations de la confidentialité, d’atteintes à la réputation, etc. En France et partout en Europe, l’ICO doit être informée d’une violation de données 72 heures après que l’organisation en a pris connaissance. Une organisation doit également informer les personnes concernées par la violation.
Pour les entreprises de plus de 250 employés, il est nécessaire de documenter les raisons pour lesquelles les informations des personnes sont collectées et traitées, de décrire les informations détenues, la durée de leur conservation et les mesures de sécurité technique en place. L’article 30 du RGPD stipule que la plupart des organisations doivent tenir un registre du traitement des données, de leur partage et de leur stockage.
En outre, les organisations qui effectuent un « suivi régulier et systématique » des personnes à grande échelle ou qui traitent un grand nombre de données personnelles sensibles doivent employer un délégué à la protection des données (DPD). Pour de nombreuses organisations couvertes par le RGPD, cela peut signifier qu’elles doivent embaucher un nouveau membre du personnel – bien que les grandes entreprises et les autorités publiques puissent déjà avoir des personnes dans ce rôle. À ce poste, la personne doit rendre compte aux membres de la direction, contrôler la conformité au RGPD et être un point de contact pour les employés et les clients.
Le principe de responsabilité peut également être crucial si une organisation fait l’objet d’une enquête pour avoir potentiellement enfreint l’un des principes du RGPD. Le fait de disposer d’un registre précis de tous les systèmes en place, de la manière dont les informations sont traitées et des mesures prises pour atténuer les erreurs aidera une organisation à prouver aux régulateurs qu’elle prend ses obligations RGPD au sérieux.
5. Que risquent les entreprises en cas de non-respect de la mise en conformité ?
La CNIL dispose du pouvoir d’interrompre temporairement les traitements de données. Ceci peut causer de nombreux problèmes pour les entreprises dont les traitements de données constituent leur activité principale. Si malgré les divers rappels à l’ordre, la CNIL prouve qu’un organisme ne veuille pas se mettre en conformité, elle peut décider de lui infliger une amende sur son chiffre d’affaires.
Par exemple, pour une entrave aux règlements comme le défaut de tenue d’un registre des traitements, le défaut d’annonce suite à une faille décelée ou encore le défaut d’étude d’impact sur la vie privée — en cas de données sensibles — l’’amende peut atteindre 2 % du chiffre d’affaires mondial de l’entreprise ou la somme de 10 millions d’euros. Autant dire, que le non respect de la RGPD, peut vous coûter très cher, et pénaliser durablement votre croissance.
L’amende peut monter jusqu’à 4 % du chiffre d’affaires mondial ou les 20 millions d’euros en cas de refus de mise en conformité face aux mise en demeure de la CNIL, en cas de traitements de données illégaux, de défaut de consentement, de manque de prudence lors des transferts transfrontaliers de données ou encore de non-respect des droits des personnes.
A ajouter aux multiples amendes, d’éventuels demandes de dommages et intérêts si une personne concernée par une des violations porter plainte. La facture pourrait être encore bien plus salée …
6. Quels sont mes droits au titre du RGPD ?
Bien que la RGPD fasse peser le plus lourd fardeau sur les responsables du traitement des données et les sous-traitants, la législation est conçue pour aider à protéger les droits des individus. À ce titre, la RGPD prévoit 8 droits individuels.
Il s’agit de permettre aux personnes d’accéder plus facilement aux données que les entreprises détiennent à leur sujet et de les supprimer dans certains cas.
Les droits complets prévus par la RGPD pour les personnes sont les suivants : le droit d’être informé, le droit d’accès, le droit de rectification, le droit d’effacement, le droit de restreindre le traitement, le droit à la portabilité des données, le droit d’opposition, ainsi que les droits relatifs à la prise de décision automatisée et au profilage.
Comme pour les principes du RGPD, nous n’allons détailler ici que certains des droits. Vous en trouverez davantage sur le site de la CNIL.
Accès à vos données
Si vous voulez savoir ce qu’une entreprise ou une organisation sait à votre sujet, vous avez besoin d’une demande d’accès à un sujet (SAR). Auparavant, ces demandes coûtaient 10 £, mais la RGPD supprime ce coût et rend la demande d’informations gratuite. Vous ne pouvez pas faire une demande pour les informations de quelqu’un d’autre, bien qu’une personne, comme un avocat, puisse faire une demande au nom d’une autre personne.
Lorsqu’une personne fait une demande de renseignements, elle est légalement en droit d’obtenir une confirmation qu’une organisation traite ses données personnelles, une copie de ces données personnelles (sauf si des exemptions s’appliquent) et toute autre information supplémentaire pertinente pour la demande. La réponse à une demande doit être fournie dans un délai d’un mois.
Des personnes ont déjà eu recours à des demandes de renseignements pour découvrir les informations que des entreprises technologiques détiennent à leur sujet. Tinder a envoyé à une personne 800 pages d’informations sur son utilisation de l’application, y compris des détails sur son éducation, la tranche d’âge des personnes qui l’intéressaient et le lieu de chaque rencontre. D’autres utilisations ont révélé les niveaux de dépenses sur FIFA et chaque clic effectué lors d’un achat sur le site web d’Amazon.
Les demandes de renseignements peuvent être faites par écrit ou oralement, ce qui signifie qu’une organisation doit déterminer si ce qui a été demandé est considéré comme des données à caractère personnel au sens du RGPD. Une déclaration de soupçon n’a pas besoin d’être explicite et peut être adressée à n’importe quel membre d’une organisation. Elle peut même être envoyée par le biais des réseaux sociaux, même si le courrier électronique est le format le plus courant pour la plupart des gens. Outre les informations demandées, une organisation doit fournir des détails sur les raisons pour lesquelles elle a traité les informations personnelles, sur l’utilisation de ces informations et sur la durée de leur conservation.
De nombreuses grandes entreprises technologiques disposent de leurs propres portails de données d’où il est possible de télécharger certaines de vos informations. Par exemple, Facebook permet à ses utilisateurs de télécharger l’ensemble de leurs anciennes images, publications et pokes, tandis que Twitter et Google permettent également d’accéder aux informations associées aux comptes sans avoir à effectuer de recherche. Dans certains cas, ces moyens d’accès aux informations peuvent ne pas contenir tout ce qu’une personne souhaite. Si une demande d’accès à un sujet est faite et ne renvoie pas les résultats souhaités par son auteur, il est possible de faire appel auprès de l’ICO.
Traitement automatisé, effacement et portabilité des données
La RGPD renforce également les droits des personnes en matière de traitement automatisé des données. Selon l’ICO, les personnes ont « le droit de ne pas être soumises à une décision » si celle-ci est automatique et qu’elle a un effet significatif sur une personne. Il existe certaines exceptions mais, en général, les personnes doivent recevoir une explication de la décision prise à leur sujet.
Le règlement donne également aux personnes le pouvoir d’obtenir l’effacement de leurs données personnelles dans certaines circonstances. Il s’agit notamment des cas suivants : lorsque les données ne sont plus nécessaires aux fins pour lesquelles elles ont été collectées, si le consentement est retiré, s’il n’y a pas d’intérêt légitime et si elles ont été traitées illégalement.
La portabilité des données est l’un des grands mots à la mode du RGPD, mais c’est aussi celui qui a été le moins mis en œuvre. En théorie, il devrait être possible de partager des informations d’un service à un autre. L’un des meilleurs exemples de partage de données est la possibilité offerte par Facebook de transférer automatiquement vos photos vers un compte Google Photos. Cette fonctionnalité a été créée par le projet de transfert de données, qui regroupe Apple, Google, Facebook, Twitter et Microsoft.
Controverses liées au RGPD
Le RGPD a suscité des critiques dans certains milieux. L’obligation de désigner des DPD, ou simplement d’en évaluer la nécessité, selon certains, impose une charge administrative indue à certaines entreprises. Certains se plaignent également que les directives sont trop vagues sur la meilleure façon de traiter les données des employés.
En outre, les données ne peuvent être transférées vers un autre pays hors de l’UE, à moins que l’entreprise destinataire ne garantisse le même degré de protection que celui exigé par l’UE. Cela a conduit à des plaintes concernant des perturbations coûteuses des pratiques commerciales.
On craint également que les coûts associés au RGPD n’augmentent au fil du temps, en partie à cause de la nécessité croissante d’éduquer les clients et les employés sur les menaces et les solutions en matière de protection des données. Le scepticisme est également de mise quant à la possibilité pour les agences de protection des données de l’UE et d’ailleurs d’aligner leur application et leur interprétation du règlement, et de garantir ainsi des conditions de concurrence équitables lorsque le RGPD entrera pleinement en vigueur.
7. Les 6 étapes à suivre de la mise en conformité
De nombreuses formalités auprès de la CNIL disparaissent. En contrepartie, la responsabilité des organismes est renforcée.
Voici les 6 étapes conseillées pour être en accord avec la mise en conformité.
Etape 1 : Désigner un pilote
Pour mettre en conformité votre entreprise , vous aurez besoin d’un véritable chef d’orchestre qui aura une mission d’information, de conseil et de contrôle en interne : le délégué à la protection des données.
Etape 2 : Cartographier vos traitements de données personnelles.
Pour mesurer concrètement l’impact du règlement européen sur la protection des données que vous traitez, commencez par recenser de façon précise vos traitements de données personnelles. L’élaboration d’un registre des traitements vous permet de faire le point.
Etape 3 : Prioriser
Sur la base de votre registre, identifiez les actions à mener pour vous conformer aux obligations actuelles et à venir. Priorisez ces actions au regard des risques que font peser vos traitements sur les droits et les libertés des personnes concernées.
Etape 4 : Gérer les risques
Si vous avez identifié des traitements de données personnelles susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes concernées, vous devrez mener, pour chacun de ces traitements, une analyse d’impact relative à la protection des données (AIPD).
Etape 5 : Organiser les processus internes
Pour assurer un haut niveau de protection des données personnelles en permanence, mettez en place des procédures internes qui garantissent la prise en compte de la protection des données à tout moment, en prenant en compte l’ensemble des événements qui peuvent survenir au cours de la vie d’un traitement (ex : faille de sécurité, gestion des demande de rectification ou d’accès, modification des données collectées, changement de prestataire).
Etape 6 : Documenter la conformité
Pour prouver votre conformité au règlement, vous devez constituer et regrouper la documentation nécessaire. Les actions et documents réalisés à chaque étape doivent être réexaminés et actualisés régulièrement pour assurer une protection des données en continu.