RGPD: concrètement que faire dans votre société ?

Pour créer, rédiger et optimiser le SEO de vos pages web --> Contactez-nous


Fin mai le RGPD va entrer en vigueur et peu de gens y comprennent vraiment quelque chose de concret.

Beaucoup d'avocats et de juristes se sont emparés du sujet, dispensant même des formations mais sans beaucoup d’aspects pratiques.

Essayons donc d’aider concrètement les TPE, PME, possesseurs de sites internet standard ou e-commerce ou utilisateurs professionnels de newsletters, fichiers, etc, etc..

Pourquoi le RGPD ?

Commençons par quelque chose de peu concret mais qui doit être dit (Passez directement au non italique si vous voulez du concret ;-))

Gnagnagna le RGPD a été fait contre les Gafa.. entend-on et lit-on de partout. Oui .. mais à quel niveau et dans quel véritable but ?

Le RGPD est une réponse juridique pour tenter d'endiguer la prise de pouvoir et le remplacement des états par les entités de type GAFAM --> Etes vous + citoyenne française/citoyen français que citoyen/citoyenne Apple/Google/Facebook ?

C’est qu’en Occident, l’heure est grave pour les Nations, les Etats et les « politiques » qui sont réduits à être prestataires de services (En général dans 4 domaines : santé, éducation, sécurité, infrastructures routières) en concurrence avec les Gafam.

On ne confie plus l’avenir aux politiques (Ce sont les Gafam qui décident et dessinent la vie de demain) mais juste des tâches de gestion voir même uniquement du collage de patchs sur des situations d’urgence.

On ne vote plus POUR un projet mais CONTRE une gestion passée et les vainqueurs, ne leur en déplaise, ne sont élus que par défaut, par une minorité agissant dans une logique « clients-fournisseurs » qui impose des standards de jugement dans lesquels excellent les Gafam.

Le RGPD est fait pour casser le moyen par lequel les Gafam et autres ont construit leur lien direct avec le peuple et ont volé le lien qu’avaient les politiques avec les medias et corps intermédiaires traditionnels.

Ces derniers ont-ils encore une chance de récupérer leurs « peuples » ? Rien n’est moins sûr d’autant plus que les Gafam se sont adaptés au RGPD et vont en faire un moyen supplémentaire d’écraser dans l’œuf toute concurrence possible (Il est symptomatique de voir d’ailleurs que les Gafam ont fait plus d’efforts pour être conformes que les sociétés « européennes »).

Passons maintenant au concret !

1) Définitions (car beaucoup de gens utilisent les termes du RGPD sans trop savoir de quoi il s'agit )

Fichier : « tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique ». (Des adresses mails dans votre mailer SONT un fichier)

Traitement : Constitue un traitement de données personnelles, toute opération portant sur des données personnelles, quel que soit le procédé utilisé. Il s’agit aussi bien de l’enregistrement des données, de leur conservation ou encore de leur modification. La visualisation de données EST un traitement

Données personnelles : toute information se rapportant à une personne physique identifiée ou identifiable ; est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ».

Les adresses IP, les cookies ou autres identifiants, ainsi que la voix sont également une donnée à caractère personnel. --> Une adresse IP que vous avez dans vos logs ou stats EST une donnée personnelle

Responsable traitement : la personne, l’autorité publique, le service ou l’organisme qui détermine la finalité et les moyens du traitement. --> VOUS êtes responsable du traitement si vous êtes le patron de la société ou du site e-commerce

Destinataire : Personne physique ou morale, l’autorité  publique, le service ou tout autre organisme qui reçoit communication de données à caractère personnel, qu'il s'agisse ou non d'un tiers. Toutefois, les autorités publiques qui sont susceptibles de recevoir communication de données à caractère personnel dans le cadre d'une mission d'enquête particulière conformément au droit de l'Union ou au droit d'un Etat membre ne sont pas considérées comme des destinataires ».

Sous-traitant : toutes les personnes physiques ou morales qui interviennent pour le compte du responsable du traitement, telles que les sociétés en charge de la conservation des données et les hébergeurs

Principe d'accountability = responsabilisation --> vous devez vous-même vous mettre en conformité RGPD

2) Principes les + importants du RGPD en ce qui concerne le traitement des données

- Licéité, loyauté, transparence : les données doivent être « traitées de manière licite, loyale et transparente au regard de la personne concernée » ;--> le quidam de base doit être au courant de TOUT ce que vous faites de "ses" données (et "vous faites "= "vous + sous-traitants") donc notamment tous vos formulaires doivent prendre ceci en compte à le quidam de base doit être au courant de ses droits (voir plus bas)

- Limitation des finalités : les données doivent être « collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d'une manière incompatible avec ces finalités » ;--> vous ne pouvez collecter QUE les données dont VOUS avez besoin

 - Exactitude des données : les données doivent être exactes et, si nécessaire, tenues à jour ;

 - Limitation de la conservation des données : les données doivent être « conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées » ;

- Intégrité et confidentialité (l’article 34 de la loi informatique et libertés) les données doivent être « traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d'origine accidentelle, à l'aide de mesures techniques ou organisationnelles appropriées » --> vous ne pouvez pas ou plus avoir des fichiers excel à droite et à gauche, non cryptés, sur des ordi "ouverts".. Les données doivent être autant que possible anonymisées ou pseudonymisées.. Par exemple ce n'est plus pierre 3 rue tataouine, jean 4 rue des chiens, axel 2 rue fowley mais A 3 rue tataouine; B 4 rue des chiens, C 2 rue fowley et dans un autre fichier A=pierre, B=jean C=axel

3) DPO ou DPD Délégué à la Protection des Données

Le responsable du traitement et le sous-traitant désignent en tout état de cause un DPO lorsque :

- le traitement est effectué par une autorité ou un organisme public (sauf fonction juridictionnelle) ;

 - le traitement à caractère personnel implique un suivi régulier, systématique et à une échelle importante ;

 - les activités consistent en un traitement à grande échelle de données sensibles (origine, génétique, infraction,…) ou des données relatives à des condamnations pénales et à des infractions.

Cartographie, impact, registre, documentation, sécurité, alerte sont les tâches du DPO qui peut être externe et partagé avec d'autres.

ATTENTION: LE DPO N'EST RESPONSABLE DE RIEN, il est juste une sorte de collaborateur transversal du système légal. Le responsable des traitements (donc dans beaucoup de cas le patron de la société) RESTE responsable et coupable s’il y a un manquement à la loi.

4) Attention à la sous-traitance

La sous-traitance est l’aspect le plus négligé dans la mise en oeuvre concrète du RGPD.

Le sous-traitant ne peut agir que sur instruction du responsable du traitement et les parties doivent conclure un contrat précisant, notamment, ce point et détaillant les obligations incombant au sous-traitant en termes de sécurité et de confidentialité.

Le responsable du traitement a toujours pour obligation de veiller au respect de ces mesures même s’il fait appel à un sous-traitant.

Le sous-traitant est tenu pour responsable du dommage causé par le traitement :

- S'il n'a pas respecté les obligations prévues par le présent Règlement qui incombent spécifiquement aux sous-traitants ; 

- S'il a agi en-dehors des instructions licites du responsable du traitement ou contrairement à celles-ci.

Le Règlement européen instaure une co-responsabilité entre le responsable de traitement et le sous-traitant. Concrètement, vous pouvez être co-responsable des errements, du manque de rigueur de l'un de vos sous-traitants !

Qui sont vos sous-traitants ? Les connaissez-vous 

·      Votre hébergeur et tous les services externes dont celui-ci se sert

·      Votre système de pare-feu ou de filtres d'url ou de surveillance réseau

·      Votre anti-virus

·      Votre système de logs

·      Votre système de statistiques

·      Les plugins ou addons qui communiquent avec un autre service

·      Les sociétés à qui vous confiez certaines tâches et qui au minimum VOIENT des données perso (Ca va de la société qui entretient votre réseau ou vos ordinateurs à votre centre d'appel, etc, etc..)

Il est impossible de contrôler concrètement si vos sous-traitants sont en accord avec le RGPD DONC prenez la ceinture et les bretelles juridiques en changeant vos contrats avec eux et en les obligeant à vous certifier qu'ils le sont -> https://www.cnil.fr/fr/sous-traitance-exemple-de-clauses

 5) Que devez-vous faire pour être conforme au RGPD ?

Rappel: vous devez vous-même faire les efforts pour être conforme donc MONTRER VOTRE BONNE FOI

Prouver qu’on se conforme bien à ses obligations en matière de protection des données à caractère personnel et que toutes les mesures de protection des données collectées ont bien été prises peut se faire par :

·      la tenue d’un registre reprenant les activités de traitement des données (art 30) ; 

·      la réalisation d’études d’impact sur la vie privée (EIVP ou PIA) ;

·      la mise en place de mesures nécessaires à la sécurité et la confidentialité des données comme la tenue d’un registre ou la notification des failles de sécurité ;

·      si besoin est la nomination d’un délégué à la protection des données (DPO) et une coopération avec l’autorité de contrôle ;

·      l’application d’un code de bonne conduite approuvé notamment par l’autorité de contrôle et comprenant les mécanismes permettant de procéder au contrôle obligatoire du respect de ses dispositions par les responsables du traitement ou les sous-traitants qui s'engagent à l'appliquer (art 24 et 40).

DONC faites déjà les 5 choses suivantes:

1 – Listez toutes les collectes et traitements de données personnelles faites dans l’entreprise

Le RGPD a redéfini que les données « personnelles » sont les données permettant d’identifier une personne : « est réputée identifiable une personne qui peut être identifiée directement ou indirectement (…), notamment par référence à un identifiant, par exemple un nom, un numéro d'identification, des données de localisation, ou un identifiant en ligne, ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale »

Si l’entreprise collecte (en interne ou en externe) des données qui permettent d’identifier une personne (adresse, mail, nom, prénom, localisation mais aussi simple adresse IP), que ce soit directement ou via un prestataire, alors elle doit commencer par recenser toutes les actions de collectes de données ainsi que les traitements qui en sont faits.

Pour chaque collecte ou traitement, il faut savoir :

- ce qui est collecté ou traité (quelles données exactement)

- d’où les données sont récupérées

- où les données sont stockées

- à qui ou à quel traitement les données sont soumises

2 – Vérifiez si les données que vous récupérez ou traitez sont bien uniquement celles dont vous avez besoin

Ce point est un des plus délicats du RGPD. La loi veut en effet qu’on ne collecte uniquement que les données dont on a besoin dans le cadre de son business. Or en pratique, on collecte souvent plus de données que nécessaire.

Dans un premier temps, avant qu’on ne sache exactement comment va s’appliquer le RGPD concrètement, il est nécessaire de savoir exactement si les données qu’on collecte ou qu’on traite sont celles dont on a besoin pour l’activité de l’entreprise ou si on en récupère ou traite d’autres.

3 – Revoir les contrats des sous-traitants qui traitent ou transmettent des données

Les sous-traitants d’une entreprise qui sont concernés par le RGPD peuvent être des prestataires de services informatiques (hébergement, sécurité, sauvegarde, etc..) ou des prestataires de marketing, de communication, de maintenance, etc..

Si de par la nature de leurs travaux, ces prestataires ont accès aux données personnelles de l’entreprise, alors il faut sécuriser ceci et notamment changer la nature du contrat que l’on a avec eux.

Des obligations spécifiques sont imposées aux sous-traitants qui doivent aider les responsables de traitements dans leur démarche de mise en conformité des traitements. 

Les contrats avec les sous-traitants doivent mentionner la réalité des dispositions de l’article 28 du RGPD (article spécifique aux sous-traitants) avec notamment :

-       l’objet et la durée de la prestation effectuée pour le compte du client

-       le type de données à caractère personnel que vous traitez pour le compte de votre client

-       les catégories de personnes concernées

-       vos obligations et vos droits en tant que responsable de traitement

-       l’engagement du sous-traitant de signaler immédiatement toute fuite de données.

Le sous-traitant doit également garantir que ses outils, applications, services respectent le RGPD notamment en ce qui concerne la quantité de données collectées, l’étendue de leur traitement, la durée de conservation et le nombre de personnes qui y a accès.

4 - Respectez les droits des personnes concernées par leurs données personnelles (accès, rectification, portabilité, suppression)

Selon le RGPD, toute personne dont les données personnelles sont collectées par une entreprise a plusieurs droits.

Accès et rectification :

- droit d’accès aux informations et droit de rectification

Portabilité :

- Droit d’obtenir les données dans un format structuré, couramment utilisé et lisible par une machine

- Droit de transférer les données directement auprès d’un nouveau responsable du traitement.

Droit d’opposition :

- La  personne  peut  s’opposer  à  tout  moment,  au traitement de ses données y compris pour le profilage

- Le responsable du traitement doit informer la personne concernée de son droit d'opposition « au plus tard au moment de la première communication avec la personne concernée » ;

Les personnes doivent être informées de leurs droits LORS DE LA COLLECTE

5 – Lors de la collecte (par exemple pour le remplissage d'un formulaire), vous devez aussi fournir les informations suivantes (Article 13)

-   identité et coordonnées du responsable du traitement

-   coordonnées du DPO s’il y en a un ;

-   finalités du traitement ainsi que la base juridique du traitement ;

-    si collecte sur le fondement de l’article 6, I point F : information sur les intérêts légitimes de la collecte ;

-    les destinataires ou les catégories de destinataires de la collecte ; 

-    la durée de conservation (ou si imprévisible : critère de fixation de la durée) ;

-    informations sur le droit de la personne sur ses données collectées (accès, suppression, rectification, limitation….) ;

-    le droit d’introduire une réclamation auprès de la CNIL ;

-    sur le caractère réglementaire ou contractuel ou si elle conditionne la conclusion d’un contrat et sur les conséquences sur la non-fourniture des données ;

-    sur l’existence d’une prise de décision automatisée ;

-    si traitement ultérieur : information sur la nouvelle finalité.

Il n’est pas nécessaire de fournir les informations si la personne concernée dispose déjà de celles-ci.

INFORMATIONS A FOURNIR LORSQUE LES DONNEES N’ONT PAS ETE COLLECTEES AUPRES DE LA PERSONNE CONCERNEE (ARTICLE 14)

-   informations similaires à celles prévues à l’article 13

-   si le responsable du traitement a l’intention d’effectuer un transfert des données à un destinataire dans un pays tiers ou à une organisation internationale et les garanties appropriées 

-   la source d’où proviennent les données (si source accessible ou non au public).

Le délai pour fournir ces informations :

 - délai raisonnable après l’obtention des données à caractère personnel : maximum 1 mois

- si les données doivent être utilisées aux fins de communication avec la personne concernée : au plus tard au moment de la communication ;

- si les données sont destinées à un autre destinataire : au plus tard au moment la première communication.

Aucune information n’est nécessaire si : 

 - la personne concernée dispose déjà de ces informations ;

- la fourniture de telles informations se révèle impossible ou exigerait un effort disproportionné ; 

- la collecte est prévue par la loi ; • les données sont confidentielles (ex : obligation légale découlant du secret professionnel).

CONSENTEMENT

Pour traiter les données personnelles d’une personne, son consentement préalable doit toujours être obtenu, sauf en cas de :

- contrats et mesures précontractuelles : quand il s’agit d’une relation avec un client ou prospect (par exemple en créant un compte sur internet)

- obligation légale du responsable de traitement (ex : l’employeur) ;

- sauvegarde de la vie humaine ; 

- mission de service public (ex : les impôts) ; 

- intérêt légitime du responsable de traitement.

Le consentement doit être :

- libre (art 4) ;

- démontré : il faut garder une preuve du consentement (art 7-1). Il faut une traçabilité (ex : signature, empreinte vocale, code envoyé par téléphone…) ;

- retiré aussi facilement qu’il a été donné (art 7-3). Cela peut se faire par écrit (y compris voie électronique) ou par oral ;

- éclairé et univoque (art 11 et 40). 

En pratique, les points 4 et 5 exigent une refonte partielle de vos formulaires, de vos propositions d’abonnement, newsletters, de la manière dont vous créez les comptes clients, etc, etc.. Tout ceci n’est pas compliqué donc ne payez pas plus que nécessaire !

Une petite conclusion pratique ?

La CNIL, le gendarme du RGPD n’a que 200 employés (contre 600 dans les organismes semblables des autres grands pays européens). L'Assemblée Nationale a baissé de 5% les subventions des associations de consommateurs (après que les députés se soient prononcés contre la réduction initiale voulue par le gouvernement de 40% de ces subventions !) et le nombre de fonctionnaires de la DGCCRF a aussi chuté donc il y a fort à parier que les contrôles de la CNIL seront réservés à certains types de sociétés ou aux dénonciations dans des secteurs où un acteur aura fait des efforts et essaiera « grâce » à une bonne délation à la française à la CNIL de mettre en difficulté ses concurrents qui n’en n’ont pas fait (Au hasard dans le secteur bancaire ? ;-)).

En bref, VOUS, dans votre petite société ou boutique, contentez-vous du minimum indiqué ci-dessus et vous serez tranquille mais ne négligez pas de faire des efforts afin de pouvoir montrer ceux-ci au moindre contrôle ou "client" un peu vicieux !

Voir aussi 

 

et 

Commentaires sur: RGPD: concrètement que faire dans votre société ?

Poster un commentaire sur: RGPD: concrètement que faire dans votre société ?







« RGPD: bien pratique parfois pour vendre sa soupe; l'exemple Prestashop | Accueil | Wijet, Medium et la censure d'une histoire d'associé blakboulé par ses "amis" »



Besoin de SEO, de développement, de rédaction de contenu web ? Besoin d'un blog, de Wordpress, de Prestashop ou autres nouvelles "choses web" ? Envie de travailler dans ces domaines ? --> Contactez-nous