Impossible ! Diront les uns.
Juridiquement aberrant ! Diront les avocats.
Cependant, voilà. Vous n’avez pas les moyens de vous faire accompagner. De plus, vous n’avez pas le temps d’aller former quelqu’un sur ce que vous faites dans votre entreprise. D’ailleurs, vous ne faites confiance à personne et considérez avoir assez de personnes à manager sans avoir en plus à vous imposer un tiers en costume-cravate.
Vous avez regardé un peu ce que certains sites disaient sur le RGPD (Règlement Général sur la Protection des Données), et vous vous dites que ce n’est pas impossible de pouvoir « gérer ça en interne ». Vous vous êtes confié à quelques-uns des membres de votre équipe sur votre volonté : tous ont levé les yeux au ciel, sauf votre nouvel arrivant, encore en période d’essai.
Vous vous êtes fait approcher par différents conseils vous proposant l’accompagnement parfait. Un excellent avocat, ou un bon chef de projet avec un manager extraordinaire au curriculum digne d’un ingénieur de la NASA (que vous ne verrez qu’à la signature du contrat et à la restitution des livrables). Mieux : on vous a proposé un outil miraculeux sensé vous offrir LA méthode pédagogique permettant à n’importe lequel de vos employés de faire un registre des traitements de données personnelles et des études d’impact sans connaissance juridique ni informatique. Au départ intéressé, vous avez vu les prix. Et là, vous êtes tombé à la renverse avec des devis saturniens à 20 000 euros l’audit (à l’issu desquels vous n’aurez, bien évidemment, rien de concret entre les mains).
Observantiae joue à nouveau à contre-courant (et théoriquement contre son camp) pour vous dire que, oui, c’est possible. Long, difficile, mais possible. Nous allons vous conforter dans votre idée en vous disant que vous en êtes tout à fait capable. Vous pouvez y arriver, si vous n’êtes pas trop gros et surtout disposez de beaucoup de temps libre. Pour vous aider, nous avons inséré nombre de liens vous renvoyant au site de la CNIL (ou autres) pour des informations plus détaillées. Nous vous prévenons : ce qui va suivre est un métier à part entière : le métier de Délégué à la Protection des Données (DPO ou DPD).
Attention tout de même : ceci est un article qui rend compréhensible la mise en conformité d’une organisation aux règles en vigueur matière de protection des données personnelles. Ce n’est en aucun cas un conseil juridique : un conseil juridique doit être adapté et personnalisé pour un client déterminé. Par conséquent, pour un conseil adapté : faites appel à un avocat ou à un cabinet comme Observantiae qui centralise avocats, conseils, informaticiens et métiers dans le cadre de ses prestations d’accompagnement.
I. Comprendre tout d’abord l’esprit du texte
Le Règlement Général sur la Protection des Données a été élaboré par un eurodéputé écologiste franco-allemand du nom de Jan Philipp Albrecht. Il a pensé, et à raison, que la règlementation existante en matière de protection des données personnelles était insatisfaisante et exposait les personnes comme les entreprises à de gros risques en termes d’abus et de cyberattaques.
Il a tenté de mettre en place cette nouvelle règlementation et s’est heurté à d’importantes actions de lobbying venues d’outre-Atlantique (mais pas que) qui ont failli dénaturer complètement le projet. Heureusement pour Albrecht, et pour les citoyens de l’Union, l’affaire Snowden a éclaté, ce qui a permis une conscientisation politique suffisante pour faire passer ce texte pratiquement en l’état. Cette élaboration houleuse est parfaitement retranscrite au travers du film Democracy (que nous vous enjoignons à visionner pendant votre temps libre restant).
Ça, c’était pour l’historique. Cela ne vous est pas directement utile mais vous aide à saisir le contexte et surtout à préparer la suite : c’est à dire comprendre la manière dont vous devez réfléchir durant chaque étape de votre mise en conformité.
L’idée est que pour lutter contre les éventuels abus, du type Cambridge Analytica, il faut que les personnes soient informées de tous les traitements (en clair : les utilisations) des données personnelles les concernant. Ces utilisations doivent reposer sur un certain nombre de bases légales, dont le consentement, et être limitées dans le temps nécessaire pour l’atteinte de l’objectif (finalité) pour lequel elles ont été collectées. Le tout, en étant bien évidemment sécurisées pour éviter fuites, altérations ou pertes.
Il faut également que vous compreniez ce que désigne une donnée personnelle : c’est une information identifiant directement ou indirectement une personne physique. C’est donc bien évidemment ses nom, prénom, adresse postale, numéro de téléphone, adresse email, données de géolocalisations mais également des choses un peu moins évidentes telles que son numéro de dossier, son pseudo etc.
II. Ce que vous devez donc faire
Prises individuellement, chacune de ces actions est largement réalisable par une entreprise motivée et consciencieuse. C’est l’accumulation de ces actions et surtout leur suivi au jour le jour qui nécessite préférentiellement un accompagnement, ou la nomination de collaborateurs spécialement dédiés à ces tâches.
a. Faire l’inventaire des traitements de données personnelles (le fameux « registre des traitements »)
En clair, vous allez élaborer un document lourd dans un format type tableur Excel comprenant un descriptif précis de chaque traitement (= utilisation) de données personnelles effectué. Il va donc vous falloir enquêter et interviewer votre personnel en interne pour savoir qui utilise quelles données pour quel objectif in fine. Il faudra également savoir qui d’autre y a accès, par quels outils, sous quelles modalités de stockage, pendant quelles durées de conservation, selon quelles procédures de sécurité etc. Les modèles de registres des traitements sont disponibles sur cette page du site de la CNIL.
Nous vous conseillons de commencer par effectuer une cartographie de vos traitements de données, c’est à dire de définir des grandes catégories de traitements regroupés par finalités larges (exemple : recrutement). Puis, vous enrichirez cette cartographie jusqu’à pouvoir en arriver à la précision d’un véritable registre.
Une fois que vous aurez en main ce document assez épineux à produire, vous aurez la pierre angulaire des preuves de votre bonne foi à présenter à la CNIL en cas de contrôle.
Mais ce sera surtout un outil très important pour vous pour la suite, car vous en êtes encore au tout début de votre mise en conformité.
b. Informer les personnes :
Il va vous falloir vérifier que les personnes : salariés, clients, prospects, contacts professionnels (etc.) sont bel et bien informées des traitements (utilisations, donc) que vous faites de leurs données personnelles. Il va falloir informer toutes les personnes qui ne l’étaient pas, et, dans certains cas, recueillir leurs consentements.
Cela risque d’handicaper une partie de vos activités, raison pour laquelle il va vous falloir réfléchir suffisamment sur les techniques vous permettant de les informer et de recueillir leurs consentements facilement et sans que cela ne vous porte préjudice en terme d’image ou de retours commerciaux (exemple : vos demandes de consentement dans le cadre de vos bases de données prospects risquent, mal faites, d’avoir un taux d’acceptation extrêmement réduit. Et par conséquence de nécessiter de les supprimer de vos bases, ce qui serait dommage). Il va également falloir faire signer un certain nombre d’avenants à vos contrats de travail pour informer légalement et en interne vos salariés.
C’est un travail difficile, et à faire avec doigté. Néanmoins, si vous avez peu de clients, prospects et de salariés et que vous entretenez de bons rapports avec eux, il est tout à fait possible de pouvoir les informer efficacement de vos utilisations de leurs données sans qu’ils ne vous causent trop de problèmes. Cependant, si la quantité de personnes concernées est importante, réfléchissez bien à la manière dont vous allez réussir à capter leur attention sur le sujet.
c. Appliquer des durées de conservation
Là encore, il va falloir vous baser sur votre registre en analysant pour chaque traitement quelle est la base légale sur laquelle vous vous reposez : obligation légale, intérêt légitime, exécution d’une mesure contractuelle, consentement… Et par conséquent identifier à partir de quel moment ces données ne sont plus utiles (réellement, ne trichez pas). Lorsque c’est le cas, cela veut dire que vous avez atteint la finalité des traitements concernés et que vous devez les supprimer, ce que vous impose la nouvelle règlementation.
Dans le cadre des traitements reposant sur une obligation légale, vous allez avoir besoin de solides compétences juridiques pour déterminer la durée de conservation prévue par la loi. Si vous ne disposez pas d’un département juridique ou d’un partenariat avec un avocat : vous disposez tout de même de Legifrance (qui met en ligne la totalité des Codes juridiques) et des sites des cabinets d’avocats qui sont souvent assortis de blogs très instructifs (ils ne valent pas les bases légales payantes dont disposent les cabinets, mais pourront dans de nombreux cas vous tirer d’affaire, sans qu’encore une fois vous ne puissiez les considérer comme de réels conseils juridiques personnalisés).
Exit, donc, les vieux CV reçus en 2014 (que l’on gardait « parce qu’on ne sait jamais ») et autres joyeusetés. Il va falloir purger. Là encore, c’est tout sauf impossible même si cela va nécessiter que vous sensibilisiez et formiez bien vos collaborateurs sur l’hygiène professionnelle à respecter. En effet, en imaginant que vous passiez personnellement sur tous les terminaux, sur toutes les boites mail et ouvriez tous les tiroirs de vos collaborateurs, il va falloir qu’aussitôt le dos tourné ils ne recommencent pas à accumuler des données personnelles sans régulation (car alors votre épineux travail n’aura servi à rien).
A suivre: la seconde partie de l’article sera publiée le vendredi 23 Novembre 2018.
Pierre LOIR
Expert en protection des données personnelles
Fondateur d’Observantiae
