1. Dans RGPD, il y a « donnée personnelle »
La CNIL considère une personne comme identifiable lorsqu’un fichier comporte des informations permettant indirectement son identification, par l’intermédiaire de son adresse IP, nom, numéro d’immatriculation, numéro de téléphone, photographie, empreinte biométriques… ou encore tout autre ensemble d’informations permettant de discriminer une personne au sein d’une population (lieu de résidence, profession, sexe, âge…).
2. RGPD : objectifs et droits défendus
Deux objectifs principaux : d’une part renforcer le droit des personnes dont les données sont traitées, et d’autre part responsabiliser les entreprises qui traitent des données grâce à un mécanisme d’« accountability ». source
Droits défendus par le texte
- Droit à l’oubli : permettant de demander l’effacement des données les concernant.
- Droit à la portabilité des données : consistant à récupérer des données les concernant dans un format structuré, couramment utilisé et lisible par machine.
- Droit de limitation : permettant de demander la suspension du traitement des données (et non la suppression).
Les entreprises devront donc adapter leur système d’information afin de pouvoir stocker les données sans que celles-ci fassent l’objet de traitement ou de modification.
3. RGPD : comment y être conforme ?
Le Règlement liste 6 étapes clefs dans la démarche de mise en conformité : en suivant ces étapes pas à pas, votre organisation s’évitera de potentielles sanctions.
Étape 1 – Désignez un pilote de la protection des données
La désignation d’un délégué à la protection des données n’est pas obligatoire pour les structures privées (à l’opposé des entités publiques) : celle-ci dépend de l’activité de l’entreprise vis-à-vis des données personnelles. Si votre activité est fondée sur l’exploitation de données, la question est tranchée : un DPO (Data Privacy Officer) doit être désigné. Dans le cas contraire, si le traitement et l’exploitation de ces données reste secondaire dans votre activité, représente des petits volumes… il n’y a pas d’obligation.
Exemple
Votre société e-commerce utilise régulièrement sa base de données clients pour envoyer des emails commerciaux : elle est concernée !
Étape 2 – Cartographiez vos traitements de données personnelles
Dressez un inventaire : l’idée est de connaître l’étendue des données que votre entreprise traite elle-même, ou traite par l’intermédiaire de ses éventuels sous-traitants. Sans inventaire exhaustif, il sera impossible d’évaluer les impacts du nouveau Règlement. Cet inventaire est désigné par la CNIL sous la dénomination de « registre des traitements ».
Étape 3 – Priorisez les actions à mener
Le registre des traitements constitué sert également de feuille de route pour les actions à mener : les priorités de mise en conformité doivent être évaluées selon les risques liés aux données collectées et à leurs traitements.
Étape 4 – Gérez les risques
9 critères de risques sont liés aux traitements de données sont définis :
- Évaluation ou notation ;
- Décision automatisée avec effet juridique ou effet similaire significatif ;
- Surveillance systématique ;
- Données sensibles ou données à caractère hautement personnel ;
- Données personnelles traitées à grande échelle ;
- Croisement d’ensembles de données ;
- Données concernant des personnes vulnérables ;
- Usage innovant ou application de nouvelles solutions technologiques ou organisationnelles ;
- Exclusion du bénéfice d’un droit, d’un service ou contrat.
Si un traitement rencontre au moins deux de ces critères, il est conseillé de faire une analyse d’impact sur la protection des données (PIA).
Étape 5 – Organiser les processus internes
Assurer un haut niveau de protection des données passe par la mise en place de procédures internes, avec pour objectif d’anticiper l’ensemble des aléas de vie des données personnelles : incidents, demande de rectification, modification, changement de prestataire…
Étape 6 – Documenter la conformité
La preuve de bonne conformité au Règlement passe par la constitution d’une documentation, qui devra bien entendu être tenue à jour régulièrement par le DPO.
4. RGPD : quels impacts concrets ?
Cookies
Le consentement implicite n’est plus suffisant.
Envoi de newsletter suite à l’action de l’internaute
La règle sera dorénavant simple : il faudra obtenir le consentement préalable de l’utilisateur, de manière claire et explicite, et lui permettre de revenir sur cette décision facilement, afin de pouvoir exploiter son adresse e-mail dans un but marketing ou commercial.
Logiciels CRM & RGPD : votre logiciel devra être conforme
Le CRM est un “sous-traitant de données” : vous êtes responsables des données transmises mais aussi de la bonne exploitation de ces données par votre système CRM, en conformité avec le RGPD.
Notifier toute violation de données à caractère personnel
Le texte introduit l’obligation de notification à l’autorité de contrôle (la CNIL) d’une violation de données à caractère personnel, si possible, dans les 72 heures suivant la détection de l’incident.
Le RGPD, ce sont les lois de la robotique appliquées aux données personnelles
Les traitements de données personnelles sont comme les robots chez Asimov :
- un traitement de données ne peut porter atteinte à une donnée personnelle, ni, en restant passif, permettre qu’une donnée personnelle soit exposée au danger ;
- un traitement de données doit obéir aux ordres qui lui sont donnés par un être humain, sauf si de tels ordres entrent en conflit avec la première loi ;
- un traitement de données doit protéger son existence tant que cette protection n’entre pas en conflit avec la première ou la deuxième loi.
