Votre guide de conformité RGPD en 7 étapes :

Le règlement général sur la protection des données (RGPD) est une notion mal comprise dans les entreprises.

 

Bien que ce soit la loi la plus stricte au monde en matière de confidentialité et de sécurité peu d’organisations la comprennent et donc peu sont totalement conformes à ses statuts.

Pourtant cette zone d’incertitude est un terrain dangereux.

Les entités non conformes pourraient se voir infliger une amende allant jusqu’à 20 millions d’euros ou dans le cas d’une entreprise jusqu’à 4 % du chiffre d’affaires annuel mondial.(le montant le plus élevé étant retenu).

Pour vous aider à y voir plus clair voici un rappel simple et claire des normes établies par la RGPD et nous y avons inclut une liste de contrôle pour aider les organisations à rester conformes.

Pour votre mise en conformité, consultez notre offre RGPD

Qu’est-ce que le règlement général sur la protection des données (RGPD) ?

La RGPD est le fruit de la réforme de la protection des données de l’Union européenne. Les normes strictes en matière de confidentialité sont entrées en vigueur le 25 mai 2018.

Ce cadre de cybersécurité vise à protéger les données personnelles de toutes les personnes de l’Union européenne.

La RGPD met à jour la Convention européenne des droits de l’homme de 1950 pour la rendre pertinente à l’ère numérique. L’article 8 de la convention stipule que toute personne a droit au respect de la vie privée et familiale.

À l’époque analogique qui a donné naissance à la convention, les frontières entre vie publique et vie privée étaient claires et facilement identifiables.

Aujourd’hui, elles sont ambiguës et floues. Sans une norme claire et appliquée comme la RGPD, les clients ne peuvent jamais être sûrs que leurs données privées, et donc leur vie privée, seront respectées.

Qu’est-ce qui est considéré comme « données personnelles » dans le cadre de la RGPD de l’UE ?

Selon l’article 4 du RGPD, les données personnelles sont définies comme toute information qui se rapporte à une personne physique identifiée ou identifiable.

En d’autres termes, les données personnelles sont toutes les données qui sont liées à l’identité d’une personne vivante.

Il ne s’agit pas seulement d’associations directes, telles que des informations financières et des adresses, mais aussi de liens indirects, tels que des évaluations relatives au comportement d’une personne.

La définition des données à caractère personnel est également indépendante du format, et peut donc inclure des images, des vidéos, des sons, des chiffres et des mots.

Toutes informations mêmes inexactes relatives aux personnes concernées sont toujours considérées comme des données à caractère personnel car ces informations sont liées à une identité.

En revanche, si l’information est associée à une entité fictive, elle n’est pas considérée comme une donnée à caractère personnel.

Par exemple, si vous faites référence à un personnage fictif résidant dans un lieu fictif, cela n’est pas considéré comme une donnée à caractère personnel.

À qui s’applique la RGPD?

La RGPD a un impact sur toute organisation qui offre des biens et des services aux personnes de l’UE, y compris les entités qui ne sont pas situées dans l’UE.

Si vous gérez une entreprise en ligne, vous ne pouvez jamais savoir avec certitude si les personnes avec lesquelles vous effectuez des transactions sont situées dans l’UE.

C’est pourquoi toutes les entreprises en ligne doivent être conformes au RGPD, à tout le moins comme mesure de protection.

Les données personnelles sont réparties en deux catégories :

  1. celles qui contrôlent les données et
  2. celles qui les traitent.
 
 

1. Le contrôleur de données

La RGPD définit un contrôleur comme tout individu, autorité publique, agence ou autre organisme qui détermine la finalité et les moyens du traitement des données personnelles. Les contrôleurs décident de la manière dont les données personnelles sont traitées.

Par exemple, une école de musique utilise un écran numérique pour informer les parents dans la salle d’attente lorsque chaque professeur est prêt. L’écran affiche le nom de chaque enfant et le numéro de la salle où se déroule son cours de musique.

L’école de musique est considérée comme le « responsable du traitement » des données à caractère personnel, car elle décide de la manière dont le système de notification doit traiter toutes les données.

2. Le responsable de traitement de données

La RGPD définit comme responsable de traitement tout individu, autorité publique, agence ou autre organisme qui traite des données personnelles pour le compte d’un contrôleur.

Étant donné que les sous-traitants exécutent les règles de traitement des données établies par un responsable du traitement, ils ne prennent pas de décisions sur la façon dont les données personnelles sont traitées.

Par exemple, une société de logiciels engage une agence spécialiste du marketing digital pour une prochaine campagne d’e-mailing. Le spécialiste du marketing reçoit les noms et les adresses électroniques de tous les clients potentiels afin de pouvoir leur envoyer des e-mails personnalisés.

La société de logiciels est considérée comme le responsable du traitement des données à caractère personnel, car elle détermine comment les données doivent être traitées.

Le responsable du marketing est considéré comme le « sous-traitant » puisqu’il exécute les instructions de traitement des données de la société de logiciels.

Même si les processus ne font que suivre les instructions du contrôleur, on s’attend toujours à ce qu’ils soient conformes au RGPD aux côtés des processus, car ils traitent des données personnelles.

 

Inovency cabinet de conseil en transformation technologique et digitale.

Pour votre conformité, consultez notre offre RGPD

Guide de conformité à la RGPD pour 2022

Liste de contrôle en 7 étapes pour être conforme RGPD

La liste de contrôle suivante aidera les entreprises à évaluer leur statut actuel de conformité au RGPD et aussi à réformer les mauvaises pratiques de traitement des données pour devenir plus conformes.

1. Connaître toutes les données que vous collectez

Si vous ne savez pas comment les données personnelles circulent dans vos systèmes internes, vous ne savez pas comment elles sont contrôlées.

Voici un cadre simple à 7 catégories pour cartographier toutes les sources de données

avec un exemple de processus de téléchargement d’un ebook :

1/ Source :

  • Formulaire de téléchargement de l’Ebook

2/ Données collectées

  • Nom complet.
  • Adresse électronique.
  • Nom de l’entreprise

3/ Raison de la collecte des données

  • Créer des leads de vente

4/ Comment les données collectées sont-elles traitées ?

  • Stocké dans la base de données du logiciel d’emailing Mailchimp.
  • Accessible par les spécialistes internes du marketing par e-mail.

5/ Quand les données sont-elles éliminées ?

  • Tous les prospects non inscrits sont supprimés manuellement de Mailchimp tous les 30 jours.

6/ Avez-vous le consentement pour collecter ces données ?

  • Oui, le formulaire de téléchargement de l’ebook comprend un message indiquant que toutes les entrées sont ajoutées à la liste de diffusion.

7/ Les données collectées comprennent-elles des informations sensibles ?

  • Oui, les noms complets et les adresses électroniques associées.

Ce protocole de filtrage doit être appliqué à toutes les données internes jusqu’à ce que vous puissiez cartographier en toute confiance le cycle de vie de tous les flux de données.

La RGPD étant axé sur la protection des données sensibles, il est important d’identifier toutes les instances de celles-ci et de classer chaque enregistrement par niveau de sensibilité.

Plus la sensibilité des données est élevée, plus il est facile d’identifier et de compromettre un individu. Les informations personnellement identifiables (PII) sont considérées comme très sensibles et doivent être défendues avec le plus haut niveau de cybersécurité.

Les adresses IP sont-elles classées comme des données à caractère personnel ?

Les adresses IP sont classées comme des données personnelles si elles peuvent être liées à l’identité d’une personne. Par exemple, si l’adresse IP d’un utilisateur est collectée en même temps que son adresse électronique, elle sera considérée comme une donnée personnelle car l’identité de la personne est liée à son adresse électronique.

Toutes les données personnelles des personnes se trouvant dans l’UE sont strictement soumises à la conformité au RGPD. Si vous n’êtes pas sûr que les adresses IP que vous collectez sont classées comme des données personnelles, référez-vous à l’autorité de surveillance de votre État de l’UE.

2. Nommer un délégué à la protection des données (DPD)

L’article 37 de la RGPD stipule que les responsables du traitement et les processus doivent désigner un délégué à la protection des données (DPD) pour superviser la stratégie de protection des données. Notez que même les processus sont censés avoir une stratégie de protection des données, même s’ils ne font que suivre les instructions de traitement des données établies par les responsables du traitement.

Selon la RGPD, une organisation doit nommer un DPD si l’une des conditions suivantes est remplie :

  • Si les données sont traitées par une autorité publique
  • Si les données collectées font l’objet d’un contrôle systématique
  • Si les données collectées sont traitées à grande échelle

Malheureusement, la RGPD ne définit pas ce qu’est une « grande échelle ». En raison de cette ambiguïté, de nombreuses organisations choisissent de nommer des DPD par mesure de sécurité.

Les organisations doivent désigner des DPD là où leurs opérations de traitement des données sont centralisées, même si elles sont situées en dehors de l’UE. Si une organisation est située dans l’UE, un DPD devrait être en poste dans l’État membre du siège de l’entreprise.

Idéalement, le DPD devrait parler les mêmes langues que les régulateurs de la RGPD dans cet État. Cela aidera les organisations à comprendre, et donc à se conformer, aux nuances de la RGPD de cet État.

L’article 39 de la RGPD stipule que le DPD doit être capable d’accomplir les tâches suivantes :

  • Conseiller en toute confiance les contrôleurs et les processus sur les meilleures pratiques de conformité au RGPD.
  • Contrôle du traitement des données pour garantir la conformité au RGPD
  • Fournir des conseils précis sur les analyses d’impact de la protection des données
  • Agir en tant que point de contact principal pour toutes les questions relatives au traitement des données.
  • Agir en tant que principal point de contact entre l’entreprise et les régulateurs RGPD.
  • Avoir une compréhension claire de tous les risques potentiels associés aux différentes opérations de traitement.

Pour s’acquitter efficacement de ces responsabilités, un DPO doit posséder une connaissance experte des lois et des meilleures pratiques du RGPD.

Pour soutenir les efforts des DPD, les organisations devraient adopter une solution de surveillance de la surface d’attaque afin d’identifier les vulnérabilités qui pourraient exposer les données traitées.

3. Créer un Registre des données

Un journal RGPD, ou un registre de données, est un enregistrement complet de la manière dont une organisation pratique la conformité au RGPD. Il faudrait le créer après avoir identifié toutes vos sources de données (point 1 de cette liste).

Un journal RGPD devrait cartographier le flux de données à travers votre organisation, plus les détails qui peuvent être inclus, mieux c’est. En cas d’audit, l’agenda RGPD servira de preuve de conformité.

Si votre organisation subit une violation de données au cours du processus de mise en place d’un cadre de conformité, l’agenda RGPD peut être utilisé comme preuve des progrès accomplis vers une meilleure sécurité des données.

Une solution tierce de surveillance de la surface d’attaque aide les organisations à identifier et à remédier à toutes les vulnérabilités en matière de violation des données dans leur réseau de fournisseurs.

La mise en œuvre rapide d’une telle solution démontre l’engagement d’une organisation à protéger les données des clients.

4. Évaluer vos besoins en matière de collecte de données

Pour être conforme au RGPD, vous ne devez collecter que les données dont vous avez absolument besoin. Accumuler des données sensibles sans raison impérieuse déclenchera une sonnette d’alarme pour l’autorité de surveillance qui contrôle votre conformité.

Toutes les exigences en matière de données doivent être examinées minutieusement au moyen d’une évaluation d’impact sur la vie privée (IPIA) et d’une évaluation d’impact sur la protection des données (DPIA). Ces analyses d’impact sont obligatoires lorsque les données collectées sont très sensibles. La réglementation RGPD sont trés claires en matière de moyens à mettre en place pour justifier du bon respect des exigences en matière de traitement de données perosnnelles.

Chez Inovency, nous réalisons et analysons avec vous votre DPIA et vous accompagnons avec pragmatisme dans la mise en place des actions nécessaires au respect des exigences RGPD.

La classification de la « sensibilité » est parfois subjective. Pour éviter toute confusion, voici quelques cas qui nécessiteraient la réalisation d’une EFDP.

  • Lorsque votre organisation utilise une nouvelle technologie
  • Si vous suivez la localisation d’individus
  • Si vous suivez le comportement des individus
  • Si vos données sont associées à des enfants
  • Si vous utilisez des données pour prendre des décisions automatisées qui pourraient avoir des conséquences juridiques.
  • Si vous surveillez des zones accessibles au public
  • Si vous traitez des données personnelles telles que :
  • Opinions religieuses
  • Origines et identités ethniques
  • Opinions politiques
  • Adhésions
  • Données génétiques
  • Données biométriques
  • Croyances philosophiques
  • Dossiers de santé
  • Orientations sexuelles

Utiliser le Modèle d’analyse d’impact sur la protection des données (AIPD)

La CNIL a créé un modèle AIPD outil qui permet de construire un traitement conforme au RGPD et respectueux de la vie privée. Elle concerne les traitements de données personnelles qui sont susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes concernées. L’AIPD peut être utilisé comme guide pour les évaluations de la protection des données.

Ce modèle fournit un contexte plus approfondi des activités qui nécessitent une évaluation des facteurs relatifs à la vie privée et à la protection de la vie privée (AIPD) pour vous aider à décider si votre activité de traitement particulière nécessite une évaluation.

5. Signaler instantanément les violations de données

La notification immédiate des violations de données est une exigence obligatoire du RGPD. Selon l’article 33 du RGPD, les responsables du traitement et les sous-traitants doivent signaler les violations de données dans les 72 heures.

La structure hiérarchique des rapports est la suivante :

Les sous-traitants doivent signaler les violations de données aux responsables du traitement, et les responsables du traitement doivent les signaler à une autorité de contrôle.

Une autorité de contrôle, également connue sous le nom d’association de protection des données ou APD, est chargée de surveiller et de faire respecter la conformité au RGPD. Elle constitue également le principal contact pour toutes les demandes de renseignements relatives au RGPD pour une organisation.

Les autorités de contrôle sont généralement situées dans l’État de l’UE où se trouve le siège d’une organisation. La RGPD habilite les APD à imposer des amendes pour non-conformité tant aux contrôleurs qu’aux sous-traitants.

6. Être transparent sur les motifs de la collecte de données

Vos clients doivent être conscients de toutes les données que vous recueillez à leur sujet. La collecte clandestine de données ne peut qu’entraîner une lourde amende pour non-conformité.

L’accusé de réception de la collecte des données doit être clairement affiché à chaque point de collecte des données – avant toute collecte de données.

Voici quelques sites Web courants qui affichent des notifications de collecte de données :

7. Formulaires du site web

Les formulaires du site web doivent indiquer clairement comment les données collectées seront utilisées.

Évitez les formulations complexes ou l’utilisation de jargon, votre message doit être clair et concis.

Les cases de consentement pré-cochées ne sont pas autorisées. Les personnes doivent toujours être conscientes qu’elles consentent à la collecte de données.