Que change la RGPD dans votre fonctionnement ?

Venez découvrir les changements que provoque la RGPD dans votre fonctionnement !
Écrit par : Martin
08/06/2019 - 5 min de lecture

Dans notre dernier article sur la RGPD, nous évoquions les tables de la Loi de la RGPD, les 8 commandements à constamment avoir en tête pour diminuer les risques d’une infraction au règlement européen.

De ces règles d’or découle un certain nombre d’obligations de fonctionnement pour tous les organismes (y compris les sous-traitants). Parmi ces obligations, l’une précise qu’ils doivent s’inscrire dans une posture de mise en conformité dynamique avec la RGPD.

Pour cela, tous les acteurs intervenant dans un traitement de données personnelles devront mettre en place à la fois des outils techniques, mais aussi des modes d’organisation différents.

Mais lesquels vous demandez vous ?

C’est exactement ça que nous allons détailler aujourd’hui !

 

“Appelez-moi le responsable !”

 

L’approche prise par la RGPD sur la protection des données personnelles découle d’un concept des années 80 remis au goût du jour : celui de l’accountability. (responsabilité en français)

Ce concept vise à responsabiliser les individus dans la supervision de la protection des données. L’organisme qui fait la collecte devient alors responsable du traitement de celles-ci et ne peut pas blâmer quelqu’un d’autre pour une mauvaise utilisation. Cette approche influence toutes les mesures qui permettent à un organisme de se mettre en conformité.

 

Les outils de la mise en conformité

 

Cette logique de responsabilisation au cœur de la RGPD implique plusieurs obligations :

  • Il faut désormais désigner un responsable : délégué à la protection des données ou DPO (oui c’est ça le fameux titre que vous avez vu apparaître sur les profils Linkedin de vos contacts depuis 1 an)
  • Tenir un registre des activités de traitement qui détaille ce qui est fait avec les données et pourquoi
  • Appliquer une politique de confidentialité
  • Réaliser une analyse d’impact sur la vie privée

Cette mise en conformité doit être dynamique, c’est-à-dire qu’elle n’est pas simplement mise en place au début puis laissée tel quel. Il faut qu’elle bénéficie d’un suivi et d’adaptations au fil du temps.

Cela veut dire que la protection des données doit être présente dans chaque nouvelle technologie traitant de données personnelles et lors de chaque utilisation de cette technologie. Et ce même en l’absence de la prévision de la protection des données personnelles dès la conception de la technologie. Vous devez donc adapter la technologie utilisée aux normes RGPD.

De plus la mise en conformité doit être globale et concerne tous les acteurs de l’organisme.

Il existe deux catégories d’outils nécessaires à la mise en conformité : obligatoires et recommandés

 

  • Obligatoires :
    • Le registre d’analyse des traitements
    • Le délégué désigné
    • L’analyse d’impact de certains traitements
    • La notification de violation sous certaines conditions
  • Recommandés :
    • La certification
    • Les règles contraignantes d’entreprise  (BCR) qui concernent les entreprises implantées dans plusieurs pays
    • Les codes de conduite

 

Penser la protection dès la conception: la privacy by design

 

L’obligation de mise en conformité concerne les technologies déjà existantes mais évidemment aussi les nouvelles.

L’accountability n’a pas été le seul concept à être exhumé et remis sur le devant de la scène par la RGPD.

Celui de la protection des données dès la conception, ou Privacy by design en anglais ( yes we speak wall street english chez Soan !) . Développé dans les années 90 par la Commissaire à l’information et à la protection de la vie privée de l’Ontario au Canada. Il est désormais repris à l’article 25 du RGPD.

 

rgpd caribou

                                   

 

Ce concept veut la mise en place de la protection des données a priori, c’est-à-dire dès la conception d’un produit ou d’un service,  avant même la collecte de la première information. Vous devez donc penser la création d’un service avec la protection des données en tête.

Ainsi certaines fonctionnalités doivent être réfléchies en amont. Par exemple, il est conseillé de mettre en place un système de pseudonymisation des données lorsqu’il n’est pas nécessaire de les conserver sous une forme identifiante et d’intégrer des mécanismes de purge automatique au-delà d’une certaine durée de conservation.

 

Il existe 7 concepts principaux autour duquel s’articule la Privacy by design :

 

  • Elle implique la conception de mesures proactives et préventives
  • La protection est implicite et automatique ( ou protection par défaut, nous allons y revenir plus bas)
  • Elle est intégrale
  • La vie privée est intégrée dans la conception des systèmes et au cœur des pratiques
  • La sécurité doit être garantie durant toute la durée de la conservation des données
  • Il faut s’assurer qu’il y ait de la visibilité et de la transparence sur la manière de traitement des données.
  • La priorité est donnée au respect de la vie privée des utilisateurs

 

Du côté de l’organisation qui collecte les données, il s’agit d’abord de ne collecter que les informations dont elle a réellement besoin, et de les traiter avec précaution et loyauté.

Pour les organismes qui collectent les données, le concept de “Privacy by design” est un défi.

Il demande de trouver le graal en garantissant aux clients un traitement des données à la fois sûr, et qui corresponde à leur besoin et tout ça sans collecter plus de données que nécessaire.
Cette garantie devra également être présente durant toute la conservation et l’utilisation des données.
Et bien sûr, tout cela en parfaite transparence sur les modalités et les finalités du traitement des données.
Enfin il faut offrir au particulier le moyen de vérifier, modifier et supprimer les données enregistrées.

 

Pourtant ( et même si cela semble difficile à croire) il y a des avantages à cette approche même pour l’organisme !
En intégrant l’idée de protection des données dès la conception, l’organisme réduit :

 

  • Les risques liés à un usage malveillant des données à caractère personnel
  • Les risques liés à sa responsabilité / aux sanctions
  • Le besoin de modifier ensuite le service ou le produit pour s’adapter à la réglementation sur la protection des données

 

Et cela tout en se dotant d’un avantage compétitif puisqu’il pourra se différencier de ses concurrents non-conformes. Il bénéficiera aussi de plus de confiance de la part du particulier qui prendra moins de risque à partager ses données personnelles avec l’organisme.

 

La protection des données par défaut : la privacy by default

 

La protection ne doit pas être une option, elle doit être totale et ne nécessiter aucune action supplémentaire de l’utilisateur.

Par défaut l’ensemble du processus doit être restreint au strict minimum en limitant :

  • La quantité des données collectées
  • La diversité des finalités
  • La durée de conservation
  • Le nombre de personnes habilitées à accéder aux données

 

Le principe de la minimisation de la collecte des données s’applique ici : seules les données nécessaires doivent être collectées.

Pour cela, il est judicieux de mettre en place des « Privacy Enhancing Technologies ». Ce sont des mesures permettant aux utilisateurs de concrétiser la minimisation des données en contrôlant leurs données, en les minimisant ou en les rendant anonymes à leur gré (cela peut être fait via l’interface du produit ou le cryptage de certaines données par exemple).

Le second principe qui s’applique est celui de la proportionnalité des techniques utilisées.
Les mesures utilisées par l’entreprise doivent être proportionnelles aux risques et aux violations que le traitement des données personnelles peut causer à la personne dont les données ont été collectées. C’est pour cela par exemple qu’il faut une très bonne raison pour pouvoir collecter des données comme l’appartenance religieuse ou l’orientation sexuelle.
Mais il ne suffit pas juste de suivre toutes ces mesures, il faut aussi pouvoir le prouver ! C’est donc ici qu’entre la dernière pièce du puzzle : la documentation.

 

La documentation

 

Toutes ces obligations de mise en conformité doivent pouvoir être prouvées; ce qui implique la mise en place d’une documentation spécifique.

Là où l’idée de privacy by design agit a priori de la collecte, la documentation couvre la conformité a posteriori.

Il est obligatoire de tracer et formaliser les actions menées pour garantir les processus de protection des données. Il s’agit de pouvoir “prouver” à la CNIL à tous moments que l’organisme respecte les règles du RGPD.
Cette documentation permet également un pilotage en interne et de constituer des documents pour les sous-traitants afin de garantir cette conformité auprès de leurs clients.

Vous voilà donc un peu mieux équipé pour vous adapter aux nouvelles obligations de la RGPD !

Si vous voulez approfondir un sujet en particulier, le site de la CNIL regorge de documents utiles et clairs pour vous informer sur les conséquences de la RGPD.

 

Merci d’avoir pris le temps de lire notre article !
Vous pouvez également nous suivre sur les réseaux sociaux : LinkedIn et Facebook

Abonnez-vous à notre Newsletter Nous vous partageons les tips des salariés chez Soan et l’actualité économique autour du paiement !