Photo de Pixabay sur Pexels.com
Novembre 2018

Se mettre en conformité RGPD tout seul (3/3) – Pierre LOIR

par

Voici la 3ème et dernière partie de notre article « se mettre en conformité tout seul » débuté le 20 Novembre 2018, et poursuivi le 23 Novembre 2018.

h. Préparez les procédures de réponse aux personnes

Le Règlement Général sur la Protection des données donne aux personnes la possibilité de faire l’exercice d’un certain nombre de droits, dont le droit d’accès, le droit à la portabilité et le droit à l’oubli sont les plus connus.

Vous disposez d’un mois pour répondre, prolongeable en cas de complexité. Il faut donc que la procédure prévue en cas de demande des personnes soit particulièrement rodée pour être activée rapidement :

  • Vérifiez l’identité du demandeur (très important ! Si vous vous laissez abuser vous fournissez beaucoup de données à un tiers parfois malintentionné)
  • Répondez rapidement par des lettres types ou personnalisées
  • Mettez la main rapidement sur toutes les données le concernant
  • Agréez à sa demande et soyez capable de le justifier et/ou le prouver

i. Prévoyez le pire

En cas de fuite, altération ou divulgation des données, vous (ou plus probablement le DPO) a l’obligation de prévenir la CNIL sous 72 heures après connaissance de cette dernière. Vous devez également rapidement prévenir la personne concernée et tout mettre en œuvre pour résoudre les problèmes ayant causé cette violation.

N’oubliez pas de pousser vos investigations pour faire un inventaire exhaustif des dégâts car toutes les personnes impactées doivent être informées.

N’oubliez pas que, si le cas se présente, l’éventualité faible d’un contrôle de la CNIL augmente dangereusement, que vous l’ayez prévenue ou, pire, que cette violation soit révélée par voie de presse et entraine une action de groupe (plusieurs personnes impactées saisissant ensemble la CNIL).

j. Formez vos collaborateurs

Toute mise en conformité est vouée à l’échec si l’ensemble de vos collaborateurs en lien proches ou lointain avec les traitements n’ont pas été formés aux bonnes pratiques de la protection des données personnelles, et de la sécurité informatique et physique de votre établissement. C’est d’ailleurs l’une des exigences du Règlement Général sur la Protection des Données (article 39 « Missions du Délégué à la Protection des Données »).

Leurs métiers sont impactés et ils doivent le mettre en pratique au quotidien : identifier les données personnelles, enrichir le registre en cas d’apparition d’un nouveau traitement, sécuriser leurs sessions, purger ce qui doit l’être etc.

Ce n’est pas vous qui vous mettez en conformité, mais votre entreprise. C’est-à-dire : une communauté de personnes. Par conséquent : formez et surtout soyez capable de justifier que vous le faites car cela aussi fera partie des éléments contrôlés par la CNIL.

k. Faites des études d’impact (ou PIA)

Nous vous avons révélés le meilleur pour la fin : les traitements de données personnelles particulièrement sensibles ou critiques doivent faite l’objet d’études d’impact. En clair, une documentation complémentaire au registre des traitements détaillant précisément les finalités et les procédures de sécurité que vous appliquez sur ces données. La CNIL a publié une liste de 14 traitements concernés (cette liste sera amenée à évoluer) :

  • Traitements de données de santé mis en œuvre par les établissements de santé ou les établissements médico-sociaux pour la prise en charge des personnes
  • Traitements portant sur des données génétiques de personnes dites « vulnérables » (patients, employés, enfants, etc.)
  • Traitements établissant des profils de personnes physiques à des fins de gestion des ressources humaines
  • Traitements ayant pour finalité de surveiller de manière constante l’activité des employés concernés
  • Traitements ayant pour finalité la gestion des alertes et des signalements en matière sociale et sanitaire
  • Traitements ayant pour finalité la gestion des alertes et des signalements en matière professionnelle
  • Traitements des données de santé nécessaires à la constitution d’un entrepôt de données ou d’un registre
  • Traitements impliquant le profilage des personnes pouvant aboutir à leur exclusion du bénéfice d’un contrat ou à la suspension voire à la rupture de celui-ci
  • Traitements mutualisés de manquements contractuels constatés, susceptibles d’aboutir à une décision d’exclusion ou de suspension du bénéfice d’un contrat
  • Traitements de profilage faisant appel à des données provenant de sources externes
  • Traitements de données biométriques aux fins de reconnaissance des personnes parmi lesquelles figurent des personnes dites « vulnérables » (élèves, personnes âgées, patients, demandeurs d’asile, etc.)
  • Instruction des demandes et gestion des logements sociaux
  • Traitements ayant pour finalité l’accompagnement social ou médico-social des personnes
  • Traitements de données de localisation à large échelle

Cela peut vous sembler complexe, mais un outil pour les PIA a été mis en place par la CNIL pour vous aider dans vos démarches. Il est ludique, gratuit et pédagogique, et en vaut bien d’autres.

l. Nommez un Délégué à la Protection des Données (DPO ou DPD)

Obligatoire dans certains cas, le DPO remplace le Correspondant Informatique et Liberté (CIL), qui n’était, lui, qu’optionnel. Il est obligatoire dans 3 cas prévu à l’article 37 du RGPD:

a) le traitement est effectué par une autorité publique ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle;

b) les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées; ou

c) les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données visées à l’article 9 ou de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10.

La nomination d’un DPO est donc obligatoire pour les organismes publics et fortement conseillé dans les cas où vous manipulez des données à grande échelle, d’autant si elles font parties des catégories sensibles (santé, opinions politiques, condamnations pénales etc.).

Si vous n’êtes pas un organisme public, vous n’avez pas forcément à nommer une personne pour ce poste, mais les différents éléments de mise en conformité précédemment cités nécessitent un travail conséquent, et donc d’allouer une charge de travail à l’un (au moins) de vos personnels. Le plan B consiste à choisir un DPO externalisé (Article 37.6 du RGPD) qui assumera ce poste et la charge afférente tout en vous permettant de rompre la relation contractuelle à tout moment.

DPO ext.png

III. Conclusion : impossible ? Non. Difficile ? Oui !

Comme vous pouvez le constater dans cet article qui a, pourtant, tenté d’être bref et d’employer un ton ludique, la protection des données personnelles est un domaine d’expertise à part entière. Il a, cependant, vocation à être compris par toutes les entreprises, et appropriable par elles. Ce n’est pas une norme d’une complexité infinie, une fois que l’on a compris quelques clefs. Elle ne doit donc pas être réservée aux grandes entreprises aux budgets « consulting » conséquent, d’autant qu’elle vous aide, au delà des données personnelles, à maîtriser vos données et à sécuriser vos infrastructures numériques et physiques.

Le poste de Délégué à la Protection des données est l’un des premiers métiers créés dans ce domaine. Il sera probablement suivi par l’émergence de beaucoup d’autres : spécialistes de l’expérience utilisateur pour informer en maintenant un contact aisé, architectes big data spécialisés dans la cartographie, l’identification et la centralisation des données personnelles, experts dans la sécurisation des données au travers de la blockchain etc.

Il n’est cependant pas impossible que vous y parveniez à force d’efforts et de bonne volonté, d’autant si vous êtes une infrastructure de petite taille, avec un nombre de traitements limités.

Cependant, il peut tout de même être utile que vous puissiez être accompagné dans vos premiers pas ou mieux : qu’un DPO externalisé s’en occupe pour vous. Le tout, bien sûr, sans trop impacter votre budget en cette période encore timide de reprise économique. Il vous faudra également vous garantir des erreurs éventuelles que vous pourriez faire au travers d’une tâche aussi vaste. En bref, idéalement, vous avez besoin d’une personne capable de cumuler, a minima, les compétences d’un informaticien expert en cybersécurité, d’un chef de projet, d’un avocat, d’un responsable marketing digital et d’un expert en sécurité physique. Ce sont justement de ces expertises (et plus), dont Observantiae dispose : nous vous concédons que, malgré cet article vulgarisateur, c’est également notre métier et que nous le faisons bien.

Fin de l’article.
Tout comme pour chacun de nos articles : Ce n’est en aucun cas un conseil juridique. Un conseil juridique doit être adapté et personnalisé pour un client déterminé. Par conséquent, pour un conseil adapté : faites appel à un avocat ou à un cabinet comme Observantiae qui centralise avocats, conseils, informaticiens et métiers dans le cadre de ses prestations d’accompagnement.

Pierre LOIR

Expert en protection des données personnelles

Fondateur d’Observantiae

LOGO_RENDU-01.jpg

Étiquettes :

Publié par observantiae

Je suis Délégué à la Protection des Données, consultant, formateur et fondateur du cabinet Observantiae. Issu d'un parcours juridique, je me suis passionné pour la protection des données personnelles et l’entrée en vigueur du Règlement Européen sur la Protection des Données (RGPD). Après avoir accompagné plusieurs sociétés sur la voie de la conformité RGPD au sein de différents cabinets de conseil, j’ai créé une structure de DPO externalisé axée sur la mutualisation des compétences, l’innovation et l’éthique dans le numérique.