|
Village de la Justice www.village-justice.com |
|
La gouvernance des données pour les Nuls (RGPD). Par Gildas Neger, Docteur en droit public.
|
|
Parution : vendredi 19 janvier 2018
Adresse de l'article original :
https://www.village-justice.com/articles/gouvernance-des-donnees-pour-les-nuls-rgpd,26965.html Reproduction interdite sans autorisation de l'auteur. |
Pourquoi : quid de ce nouveau règlement ?
Il s’agit d’un règlement de la Commission européenne « protège les libertés et droits fondamentaux des personnes physiques, et en particulier leur droit à la protection des données à caractère personnel ».
Plus simplement : le profilage n’est pas autorisé sans le consentement des utilisateurs.
Il augmente considérablement le pouvoir des autorités découlant de la règlementation européenne de 1995…
Pour la mise en place des nouvelles normes [1], « il faut disposer d’un tiers de compétences juridiques, d’un tiers de compétences IT d’un tiers de compétences en relations humaines » , résume pour sa part Fortunato Guarino [2], CIL de l’éditeur américain Guidance Software
Les points les plus importants à connaitre :
Les pénalités sont importantes.
Avant on avait la CNIL mais les amendes n’étaient pas très importantes. A compter de l’application du règlement la pénalité pourra monter jusqu’à 4% du CA annuel global ou 20 millions d’euros [3]. Le montant le plus élevé pourra s’appliquer en cas de condamnation.
Une définition élargie des données personnelles.
Avant on parlait de PII (Personally Identifiable Information), à savoir des données qui portent l’identité. Dans le cadre de la règlementation européenne c’est plus vaste. La notion d’identité est très large. Ça peut être des entités physiques, des noms, des prénoms, des courriels, des identités numériques (adresse IP, cookies), des entités biométriques, etc.
Le règlement s’applique sur le principe de consentement explicite mais également une preuve du consentement. Y compris pour les entreprises data processor.
Chaque citoyen européen aura la possibilité d’imposer l’application du RGPD et de faire valoir les droits et garanties qui l’accompagnent à toute entreprise (européenne ou non) qui collecte ses données.
Droits de la personne
Le citoyen a le droit de demander communication des informations détenues par l’entreprise et qui le concerne. Il peut également demander la suppression totale ou partielle de ces données (Droit à l’oubli). Les données le concernant doivent être transférables sous 25 jours au client.
C’est donc un règlement, parmi d’autres, relatif au respect de la vie privée.
Ce respect est multidimensionnel, à savoir qu’il ne concerne pas uniquement les données marketing mais également celles des données clients, prospects, employés, fournisseurs, etc. Tout ce qui relève de l’individu est concerné. Voire également les données professionnelles (mail pro par ex.). Sachant qu’à partir du moment où il est fait usage d’objets connectés et qu’il est donc possible d’extraire une foultitude de données sur une personne, on prend alors conscience de l’étendue des données collectables. Il est donc indispensable d’envisager de l’agilité dans ces domaines (d’autant que les règlementations hors UE sont différentes…) afin de pouvoir intégrer les nouvelles obligations.
Pourquoi agir vite ?
- Les coûts importants en cas de non application
- La règlementation fait obligation à avoir au moins une personne dédiée à l’application de la règlementation (Data protection officier - DPO).
- C’est également une opportunité décisive de remettre de l’ordre dans les processus internes de traitement de l’information.
Concrètement : que faut-il accomplir ?
La CNIL nous apporte des éléments importants pour le déroulement de la mise en œuvre du règlement.
Désigner un pilote
Pour piloter la gouvernance des données personnelles de votre structure, il faudra recruter un véritable chef d’orchestre qui exercera une mission d’information, de conseil et de contrôle en interne : le DPO.
Cartographier les traitements de données personnelles
Pour mesurer concrètement l’impact du règlement européen sur la protection des données traitées, il convient de commencer par recenser de façon précise les traitements de données personnelles. L’élaboration d’un registre des traitements permettra de faire le point.
Prioriser les actions à mener
Sur la base de de ce registre, il faudra alors identifier les actions à mener pour se conformer aux obligations actuelles et à venir. Ces actions devront être priorisées au regard des risques que font peser les traitements sur les droits et les libertés des personnes concernées.
Gérer les risques
Si des traitements de données personnelles susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes concernées ont été identifiés, il faudra mener, pour chacun de ces traitements, une analyse d’impact sur la protection des données [4]
Organiser les processus internes
Pour assurer un haut niveau de protection des données personnelles en permanence, il sera impératif de mettre en place des procédures internes garantissant la prise en compte de la protection des données à tout moment, en prenant en compte l’ensemble des événements qui peuvent survenir au cours de la vie d’un traitement (ex : faille de sécurité, gestion des demande de rectification ou d’accès, modification des données collectées, changement de prestataire).
Documenter la conformité
Pour prouver sa conformité au règlement, il faudra constituer et regrouper la documentation nécessaire. Les actions et documents réalisés à chaque étape doivent être réexaminés et actualisés régulièrement pour assurer une protection des données en continu.
En résumé
Identifier, connaitre et suivre les données personnelles
S’assurer de la conformité des données (Optin [5] ?). A-t-on le droit de traiter ces données ?
Protéger les données et responsabiliser les gens pour pouvoir répondre aux contraintes du règlement
Partager les données avec les personnes concernées
Inventorier les données personnelles (gestion des métadonnées) - Excel
Créer le système de suivi - Preuve du consentement par ex. Avoir une traçabilité de toutes les données (Lac de données GDPR et/ou MDM) avec une vue unique permettant de consigner toutes les informations que l’on peut avoir sur une personne, même si ces données existent sur plusieurs fichiers (peut nécessiter de mettre en place un Master Data Management - Gestion des données de référence).
Protéger les données (anonymisation et pseudonymisation, chiffrage, exclusion…).
Instituer des procédures de contrôles (gouvernance des données).
Responsabiliser et opérationnaliser (Data Stewardship) ceux qui traitent des données sensibles !
Obtenir l’Optin.
Assurer le droit d’accès à la personne puisque les données que vous avez sur quelqu’un ne vous appartiennent pas ! (Intégration de données – Data Services)
Enfin, modifier les CGU, CGV... en les enrichissant de demandes de consentement.
Aujourd’hui, près de 90 % des Français se disent préoccupés par l’usage qui est fait de leurs données [6] Donc, autant donc profiter de ce passage obligé pour renforcer les liens avec les consommateurs !
Par conséquent, repenser sa politique Data en l’orientant au service d’une meilleure relation marque/ consommateur va les rassurer.
Et améliorer votre image.
Gildas Neger Docteur en Droit Public[1] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).
[2] Fortunato Guarino est Consultant cybercriminalité et protection des données, pour la région EMEA, au sein de la société Guidance Software depuis 2016.
[3] Le RGPD prévoit des amendes allant jusqu’à 4 % du chiffre d’affaires mondial de l’entreprise concernée ou 20 millions d’euros. A comparer aux 3 millions d’euros maximum qu’autorise la loi pour une République numérique (qui a déjà renforcé le pouvoir de sanction de la CNIL, auparavant limité à 150 000 euros d’amende).
[4] Le logiciel PIA gratuit proposé par la CNIL s’inscrit dans une démarche d’accompagnement des responsables de traitement dans la mise en œuvre des obligations du RGPD. Disponible en français et en anglais, il facilite et accompagne la conduite d’une analyse d’impact relative à la protection des données, qui deviendra obligatoire pour certains traitements à partir de Mai 2018. Cet outil vise aussi à faciliter l’appropriation des guides PIA de la CNIL. Téléchargement : ICI.
[5] Principe par lequel un individu doit donner son consentement préalable et explicite avant d’être la cible d’une prospection directe. Le principe général est qu’un individu ne peut être destinataire d’une newsletter que s’il a donné de manière claire et explicite son consentement à la réception de ce type de message.
L’opt-in est une obligation imposée par la loi LEN et par les recommandations d’application émises par la CNIL.
[6] CSA - « Les Français et la protection de leurs données personnelles » - septembre 2017.