Les points clés de la conformité RGPD
1 – Désigner un DPO
La désignation d’un délégué à la protection des données (DPD ou DPO) est obligatoire pour les traitements effectués par les autorités ou organismes publics et, dans le secteur privé, pour les responsables de traitement ou sous-traitants dont les activités de base consistent en :
- des opérations de traitement qui exigent un « suivi régulier et systématique à grande échelle » des personnes concernées,
- ou un « traitement à grande échelle » de certaines données sensibles.
Lorsqu’un DPO n’est pas nommé, il est recommandé de désigner une personne qui jouera le rôle de pilote de la conformité, référent en matière de données personnelles.
2 – Tenir un registre des traitements
La tenue du registre est obligatoire si au moins une des conditions suivantes est remplie :
- entreprise ou organisme de 250 salariés ou plus,
- traitement susceptible de comporter un risque pour les droits et libertés des personnes concernées,
- traitement qui n’est pas occasionnel,
- traitement portant sur certaines données sensibles.
Même en dehors de ces situations, il est nécessaire d’identifier précisément tous les traitements de données personnelles mis en œuvre par l’entreprise pour s’assurer de leur conformité.
Le registre doit comporter des informations précises sur chaque traitement : finalités, catégories de données, personnes concernées, destinataires, durée de conservation, etc.
Les sous-traitants doivent, en outre, tenir un registre spécifique pour les activités de traitement effectuées pour le compte du responsable de traitement.
3 – Réviser les contrats avec les prestataires/sous-traitants
Au sens du RGPD, le « sous-traitant » est celui qui traite des données personnelles pour le compte du responsable de traitement (par exemple : prestataire, hébergeur, cloud, centre d’appels…).
Un responsable de traitement ne peut faire appel qu’à des sous-traitants qui présentent « des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée ».
Le contrat entre le responsable de traitement et le sous-traitant doit être écrit et conforme aux exigences du RGPD, avec des mentions obligatoires.
Il doit préciser certaines informations sur le traitement concerné et contenir des clauses spécifiques.
Si le contrat n’est pas conforme, un avenant et/ou un accord sur la protection des données doit être conclu.
4 – Mettre en conformité les traitements
La mise en conformité aux exigences de la réglementation porte notamment sur les points suivants, pour chaque traitement :
- Finalité limitée : les données personnelles ne peuvent être collectées et traitées que pour des finalités déterminées, explicites et légitimes.
- Principe de minimisation :
- Les données doivent être adéquates, pertinentes et non excessives au regard des finalités poursuivies. Seules les données nécessaires peuvent être collectées et traitées.
- La durée de conservation des données ne peut excéder la durée nécessaire au regard de l’objectif poursuivi. Au-delà, elles doivent être effacées, ou éventuellement archivées avec accès restreint dans certains cas.
- Les destinataires doivent être limités : seules les personnes ayant réellement besoin d’accéder aux données pour la réalisation des finalités, au regard de leurs attributions, doivent pouvoir les consulter.
- Les données doivent être adéquates, pertinentes et non excessives au regard des finalités poursuivies. Seules les données nécessaires peuvent être collectées et traitées.
- Base juridique licite : le traitement doit correspondre à l’une des bases juridiques prévues par le RGPD (obligation légale, contrat, intérêt légitime, consentement…). Lorsque le traitement est fondé sur le consentement, il importe de s’assurer que celui-ci a été valablement recueilli.
- Information des personnes concernées (salariés, clients, utilisateurs…) : elles doivent être informées de manière précise et transparente, avant la mise en œuvre du traitement. Diverses informations doivent leur être communiquées : finalités, base juridique, durée de conservation, droits d’accès, de rectification, etc.
- Sécurité des données : des mesures techniques et organisationnelles doivent être mises en place pour garantir un niveau de sécurité adapté au risque (pseudonymisation, chiffrement, clauses de confidentialité, habilitations, sauvegardes, journalisation, audits…). Les risques à prendre en compte sont notamment la destruction, l’altération, la divulgation ou l’accès non autorisé.
- Transfert de données hors UE : il doit être encadré par des outils ou solutions spécifiques si le pays tiers ne présente pas un niveau de protection adéquat.
5 – Réaliser une analyse d’impact pour certains traitements
Une analyse d’impact relative à la protection des données (AIPD ou PIA, privacy impact assessment) doit être effectuée lorsqu’un traitement « est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques ».
En général, une analyse d’impact doit être réalisée lorsqu’au moins deux des critères suivants sont remplis :
- données sensibles ou à caractère hautement personnel
- usage innovant / nouvelle technologie
- personnes vulnérables
- collecte de données personnelles à large échelle
- surveillance systématique
- croisement de données
- évaluation / scoring
- décision automatique avec effet légal ou similaire
- exclusion du bénéfice d’un droit ou contrat.
Le RGPD cite, à titre d’exemple, les traitements à grande échelle de données sensibles, ceux impliquant une surveillance systématique à grande échelle d’une zone accessible au public, ou une évaluation systématique et approfondie d’aspects personnels sur la base de laquelle sont prises des décisions produisant des effets juridiques. Mais d’autres traitements peuvent être concernés.
L’analyse d’impact doit contenir notamment :
- une description des opérations de traitement envisagées et des finalités, y compris, le cas échéant, l’intérêt légitime poursuivi par le responsable du traitement,
- une évaluation de leur nécessité et de leur proportionnalité au regard des finalités,
- une évaluation des risques pour les droits et libertés des personnes concernées,
- les mesures envisagées pour faire face aux risques.
Dans certains cas, l’analyse d’impact doit être transmise à la CNIL, notamment si au terme de l’analyse, il apparaît que le niveau de risque résiduel pour les droits et libertés des personnes reste élevé.
6 – Mettre en place des procédures internes
Pour assurer la protection des données et le respect de la réglementation, il convient de mettre en place, en interne, des processus concernant notamment :
- L’exercice des droits des personnes concernées : procédures pour la gestion des réclamations et des demandes des personnes concernées (droit d’accès, de rectification, d’opposition, de portabilité, etc.)
- La sécurité des données : procédure de gestion des notifications des violations de données, etc.
- Les relations avec les sous-traitants (prestataires, fournisseurs…) : procédures pour la contractualisation, l’audit, etc.
- La sensibilisation et la formation du personnel de l’entreprise à la réglementation et aux problématiques des données personnelles
- La prise en compte de la protection des données dès la conception et par défaut : lors de la conception d’une application, d’un nouveau traitement…
7 – Documenter la conformité
En cas de contrôle, il appartient à l’entreprise de prouver qu’elle est en conformité avec les obligations prévues par le RGPD.
Pour cela, il importe de rassembler et organiser la documentation, c’est-à-dire, les éléments de preuve, pouvant inclure notamment le registre des traitements, les analyses d’impact effectuées, les contrats avec les sous-traitants, etc…