Loupe

Guide complet pour être conforme au RGPD

Le Règlement Général sur la Protection des Données RGPD (en anglais « General Data Protection Regulation » ou  GDPR) implique la mise en place de nouvelles procédures pour toute organisation, publique ou privée, qui traite des données personnelles pour son compte ou non, établie sur le territoire de l’Union européenne ou ciblant directement des résidents européens. Depuis le 25 Mai 2018, son application est obligatoire. Cette nouvelle réglementation européenne renforce les droits des citoyens et impose certaines obligations sur la protection des données personnelles.

Voici la liste des 6 étapes à respecter pour être conforme au RGPD !

6 étapes pour une entreprise conforme avec le RGPD

L’application du RGPD entraine la disparition de nombreuses formalités déjà présentes auprès de la CNIL. Non le RGPD n’est pas un big bang car il existait donc déjà une certaine régulation sur les données personnelles. Cependant il est essentiel de bien comprendre les bases de ce nouveau règlement européen sur la protection des données pour partir du bon pied et éviter une confusion générale.

La responsabilité des organisations et entreprises sur les données privées est renforcée avec le RGPD. Il sera donc nécessaire de déployer une gestion raisonnée des données, d’assurer une protection optimale de ces données et être en mesure de le démontrer en documentant votre conformité.

1 – Désignez votre délégué à la protection des données personnelles (DPO)

La gouvernance des données personnelles de votre organisation doit être centralisée auprès d’un personnage central : le DPO, le délégué à la protection des données. Ce DPO agit comme responsable du RGPD dans le sens où il a une mission d’information, de conseil et de contrôles avec tous vos collaborateurs en interne. Il est impératif de réaliser un comité de consultation et de prise de décision sur le RGPD dont le DPO sera bien évidemment une pierre centrale.

La désignation d’un délégué à la protection des données DPO n’est pas une obligation légale mais elle est fortement recommandée pour des structures de plus de 50 collaborateurs dont la gestion du RGPD est essentielle. Cette personne s’assure donc de la mise en conformité au RGPD. Votre délégué sera une pierre centrale pour assimiler et respecter les obligations de ce nouveau règlement européen. Il pourra ainsi dialoguer de manière sereine avec les autorités de régulation des traitements et ainsi diminuer les risques de non conformité.

Le rôle du DPO (Délégué à la protection des données)

Le délégué à la protection des données possède plusieurs missions principales, à savoir :

  • Informer et conseiller le personnel en interne mais aussi dialoguer avec les sous-traitants pour réunir les informations nécessaires.
  • Communiquer sur votre conformité auprès des clients : la mise en conformité au RGPD est spécifique en fonction de la situation de votre entreprise et secteur d’activité, notamment au niveau des responsabilités qui vous incombent. Il est donc essentiel d’avoir une personne suffisamment compétente pour attester de votre bonne conformité !
  • Contrôler et vérifier le respect du règlement RGPD au niveau de la protection des données personnelles.
  • Conseiller l’entreprise : Votre DPO sera en mesure de préconiser les meilleures études d’impact sur la gestion des données personnelles et de veiller à leur bonne exécution.
  • Communiquer avec les autorités de contrôle : Il est en effet essentiel de pouvoir répondre efficacement aux demandes de bonne conformité.

Le délégué à la protection des données personnelles se doit donc de pouvoir s’informer sur les nouvelles obligations, de se former à la méthodologie de mise en conformité et évaluation de celle-ci, de réaliser un inventaire des traitements des données personnelles et de sensibiliser les responsables de chaque pôle pour mettre en place des actions efficaces.

2 – Cartographiez les traitements des données personnelles

Recenser de manière précise tous les traitements de données personnelles réalisées par votre entreprise est un des premiers chantiers à réaliser pour le DPO. Pour récapituler tous ces traitements de données réalisés en interne, il est nécessaire de réaliser un registre des traitements pour être transparent sur ce sujet.

Les entreprises devront donc à l’avenir tenir une documentation complète interne sur les traitements des données personnelles ayant lieu dans leur périmètre d’activité. L’idée est de pouvoir identifier les traitements, de connaitre les sous-traitants intervenant sur ces traitements et de s’assurer que ces traitements respectent les obligations du RGPD.

Pour résumer, il sera donc nécessaire de recenser ces différents points :

  • Les traitements des données personnelles ;
  • Les catégories de données ;
  • Les objectifs concernant le traitement de ces différentes données (le RGPD impose un principe de mesure quant à la récolte des données) ;
  • Les acteurs internes et externes qui traitent les données faisant l’objet de traitements par votre entreprise (dans le cas de Openhost le périmètre est donc l’hébergement des données et la manière dont elles transitent sur nos infrastructures, nous garantissons une clause de confidentialité de 100% au niveau des données) ;
  • Les flux de données : de l’origine jusqu’à la destination pour mettre en lumière des éventuelles sorties hors de l’Union européenne.

Chacun de ces traitements de données poussent donc à se poser de multiples questions :

  • Qui ? : Il faut donc inscrire nom/prénom/coordonnées du responsable du traitement et représentant légal de l’entreprise ; Identifiez les responsables des services concernés en interne ; Listez les sous-traitants de ces traitements.
  • Quoi ? : Listez les catégories de données traitées et identifiez les données de natures sensibles (données sur la santé, infractions probables, etc.)
  • Pourquoi ? : Finalités qui justifient la récolte de ces données (demandes commerciales, gestion RH,…)
  • Où ? : Lieux où sont hébergées les données (en France pour Openhost !), indiquez les pays où sont transférées les données si nécessaire.
  • Jusque quand ? : Durée de conservation des données pour chaque catégories.
  • Comment ? : Mesures de sécurité mises en œuvre pour limiter les risques d’accès à ces données personnelles aux personnes non autorisées. Par exemple, chez Openhost, nous avons un dispositif de haute sécurité pour l’accès physique à nos datacenters mais aussi des mesures de sécurité pour l’accès aux serveurs comme le MFA une stratégie gestion des mots de passe, etc..

3 – Définissez et organisez les actions de conformité à mener

Après avoir désigné un responsable et listé les traitements des données dans l’entreprise et auprès des sous-traitants, il est nécessaire de mettre en place des actions de conformité au RGPD. Il est nécessaire de prioriser les chantiers en fonction des risques que les traitements font peser sur les droits et libertés des personnes.

Pour cela, voici une liste des points sur lesquels il est nécessaire de se pencher :

  • Collecte des données raisonnée : seules les données nécessaires aux objectifs définis doivent être collectées ;
  • Noter la base juridique sur laquelle se positionne ce traitement : consentement de la personne pour une newsletter, intérêt légitime car prospection sur un secteur d’activité, demande commerciale,…
  • Révisez les mentions d’informations : Article 12,12 & 14 du règlement
  • Vérifiez que les sous-traitants connaissent bien les nouvelles obligations et soient conscients de la mise en place de procédures si nécessaire Par exemple pour un hébergeur tel que Openhost ce pourrait être le fait de bien identifier les lieux d’hébergement des données : sur nos datacenters en France, sur le cloud Azure en fonction des besoins du projet (en Europe ou hors de l’UE, il est nécessaire de le notifier), etc. Des clauses contractuelles rappelant les obligations des sous-traitants doivent être intégrées pour la sécurité, la confidentialité et la protection des données personnelles en traitement.
  • Prévoir les modalités de droit d’accès des personnes à leurs propres données : droits d’accès, rectifications, retrait de consentement,… Ces actions doivent être identifiées et possibles en cas de demande.
  • Mesures de sécurité mises en place pour la protection des données : sécurité des serveurs, protection des accès et autres actions mises en place pour veiller à l’intégrité des données (dans le cadre de l’ISO27001, Openhost a mis en place un plan d’actions et de mesures de sécurité pour veiller à cette intégrité).

Certaines catégories de données nécessitent une attention spécifique car elles sont considérées comme plus sensibles : données relevant de l’origine ethnique, des convictions religieuses ou politiques et philosophiques, sur la santé, génétiques ou biométriques, tout ce qui touche aux mineurs, concernant les infractions pénales et sur l’orientation sexuelle.

En cas de transfert des données hors de l’UE

Dans le cas où vos traitements impliquent l’hébergement ou le transit des données hors de l’Union Européenne, certaines mesures supplémentaires s’appliquent :

4 – Identifiez les risques avec le PIA

Une fois les différents traitements de données identifiés et organisés en fonction des risques plus ou moins élevés pour les droits et libertés des personnes, il faudra réaliser une analyse d’impact pour les données sensibles. Cet analyse d’impact sur la protection des données personnelles (PIA, Privacy Impact Assesment) conditionnera les futurs traitements de ces données.

L’analyse d’impact sur la protection des données personnelles (PIA)

Elle se présente sous la forme d’une étude visant à définir des traitements de données respectant la vie privée des personnes. Cette étude est essentielles car elle garantit une bonne partie de la conformité RGPD de votre entreprise.

Le PIA est construit sous forme d’outil d’évaluation avec 2 axes principaux :

  • Principes et droits fondamentaux « non négociables » c’est-à-dire fixés par la loi, donc non modulables peu importe les circonstances ;
  • Gestion des risques sur la vie privée : il faudra déterminer les risques possibles sur les données personnelles et les mesures pour les contrer (par exemple en cas de cyberattaque, comment se protéger des malwares ? : Sécuriser sa messagerie mail, avoir un centre d’administration anti-virus tel que Defender Security Center proposé par Openhost).

L’analyse d’impact PIA doit contenir :

  • Description du traitement étudié et des finalités.
  • Évaluation de la nécessité et de la proportionnalité des traitements sur les données au regard des finalités (doit-on forcément les déplacer d’un point à l’autre ? Autant de personnes doivent-elles y avoir accès ?…)
  • Évaluation des risques pour les droits et libertés des personnes et lister les mesures de protection face aux risques.

Quand doit-on mener un PIA, pour quels traitements et données ?

Le PIA est à réaliser avant toute mise en place de traitements de données. Les analyses d’impact se doivent d’être revues régulièrement pour pouvoir corriger les mesures mises en place, notamment en cas de changements majeurs sur l’exécution des traitements (changement de sous-traitant par exemple si celui est concerné par le PIA).

Le PIA est obligatoire pour tous les traitements engendrant des risques élevés pour les droits et libertés des personnes donc dès lors qu’un traitement touche à des données sensibles (article 35 RGPD). Une liste de critères d’évaluation a été défini pour déterminer si un PIA est obligatoire sur un traitement, les 9 critères du PIA ont été définis dans les lignes obligatoires du G29. Si votre traitement regroupe 2 critères minimum alors il est nécessaire de réaliser un PIA.

Élaboration de l’analyse d’impact (PIA), qui dois s’en charger ?

  • Responsable de traitement : valide le plan d’analyse d’impact (PIA) et s’engage à mettre en œuvre le plan d’action défini ;
  • DPO Délégué à la protection des données : élabore le plan d’action et garantit son exécution ;
  • Sous-traitant(s) : fournit les informations nécessaires à l’élaboration du PIA ;
  • Responsables métiers (RSSI, maîtrise d’ouvrage, maîtrise d’œuvre) : fournissent les éléments nécessaires ;
  • Les personnes concernées (propriétaires des données personnelles sensibles) : doivent donner leurs avis sur les traitements réalisés.

5 – Mise en place de processus internes pour le traitement des données personnelles

Mettre en place des procédures internes pour garantir un haut niveau de protection des données est un point essentiel pour assurer sa bonne conformité au RGPD. Il est nécessaire de prendre en compte un ensemble d’évènements ayant un impact sur les traitements identifiés. Ces évènements et risques sont de diverses natures : accès aux données, failles de sécurité, gérer les demandes de rectification, changements sous-traitants, etc.

Pour organiser vos processus en interne, il est donc nécessaire de :

  • Prendre en compte la protection des données personnelles dès le début des collectes : « Privacy by Design » : Lors de la conception d’un site, application ou tout traitement, il faut travailler en lien étroit avec le délégué à la protection des données (pour minimiser la collecte, appliquer des durées de conservation max, recueillir le consentement,…) ;
  • Sensibiliser et organiser la remontée des informations : pour cela il sera nécessaire de déployer une forte communication en interne pour vos collaborateurs et de prévoir des formations pour les personnes les plus concernées (responsables métiers par exemple) ;
  • Traiter les réclamations et demandes des propriétaires des données : définir acteurs et modalités d’exercice des droits de rectification et retrait (l’exercice des droits devra pouvoir se faire via voie électronique, si les données ont été collectées par ce moyen) ;
  • Anticiper les violations de données personnelles : en cas de violation des données, il est obligatoire de le notifier aux autorités de protection des données sous 72 heures et aux propriétaires des données dans les meilleurs délais possibles.

Un service de télécommunication des notifications de violations des données personnelles devrait être disponible d’ici Mai 2018 sur le site de la CNIL. En attendant voici le formulaire à remplir en cas de violation des données.

6 – Faites preuve de conformité en documentant toutes vos actions !

Documenter sa conformité est une des étapes clés pour respecter le RGPD. Il est donc nécessaire de constituer et rassembler tous les différents éléments évoqués dans notre article. Ce dossier doit être réévaluer et actualiser de manière régulière pour suivre la vie des traitements et toutes modifications qui pourraient intervenir.

La composition du dossier de conformité au RGPD

Documents sur les traitements des données personnelles :

  • Registre des traitements (pour les responsables de traitements) ou des catégories d’activités de traitements (pour les sous-traitants)
  • PIA – Analyses d’impact sur la protection des données : pour tous les traitements pouvant engendrer de hauts risques pour les droits et libertés des personnes concernées
  • Encadrement des transferts en cas de traitements hors de l’UE

Informer les personnes propriétaires des données personnelles traitées :

  • Mentions d’information
  • ​Recueil du consentement des personnes concernées,
  • Procédures pour l’exercice des droits de rectification et rétractation

Contrats définissant les rôles et responsabilités des acteurs :

  • Contrats avec sous-traitants et clause de confidentialité
  • Procédures internes en cas de violations de données
  • Preuves de consentement des personnes concernées si le traitement de leurs données repose sur cette base.

Une fois toutes ces étapes remplies, votre dossier documentaire démontre votre conformité au RGPD ! Si vous souhaitez aller plus loin dans l’analyse de votre sécurité informatique pour empêcher toutes intrusions et attaques informatiques, nous pouvons vous accompagner dans un audit de sécurité informatique.

Notre équipe fait tous les jours face aux problématiques de sécurisation des accès et protection des données, Openhost possède donc une expérience riche en la matière que nous serons ravi de partager en vous accompagnant sur vos projets !

Contactez-nous

Un projet, une question ? Nos équipes certifiées par Microsoft vous accompagnent sur vos problématiques métier.

Contactez-nous

Autres actualités