RGPD : un an après, comment s’assurer de sa conformité et éviter les sanctions ?
En 2018, 31 entreprises dans le monde ont déjà été sanctionnées par la CNIL. 1 an après la mise en application de la loi, la période de tolérance, sur laquelle beaucoup comptaient, a définitivement pris fin. Que vous soyez un grand groupe ou une start-up, vous devez vous mettre en conformité avec le RGPD et surtout le rester !
L’année 2018 en quelques chiffres, c'est :
- 95 000 plaintes déposées ;
- 33,7 millions de personnes vivant en France concernées ;
- 255 enquêtes ouvertes ;
- + de 50 millions d’euros d’amendes distribués.
Le RGPD est ainsi rapidement devenu un enjeu majeur pour la majorité des entreprises européennes. Un an après l’entrée en vigueur du règlement, nous dressons un premier bilan du RGPD et surtout nous vous donnons les clés pour assurer votre mise en conformité.
Le récapitulatif sur la conformité au RGPD
Nous le savons tous, la donnée est l’or numérique de ce troisième millénaire. Les institutions européennes l’ont bien compris et face à certaines pratiques contestables, elles ont décidé d’imposer un cadre commun pour protéger les informations de leurs citoyens : le Règlement Général sur la Protection des Données (RGPD).
Ce nouveau règlement a pour but de renforcer le contrôle des citoyens sur leurs données et d'harmoniser les outils de régulation au niveau européen. Toutes les organisations, qui traitent des données personnelles de citoyens européens, sont donc concernées.
C’est par exemple le cas des sous-traitants : le cas mérite d’être mentionné tant le RGPD soulève des questions importantes sur la responsabilité des sous-traitants au regard du RGPD.
Les sanctions en cas de non-conformité au RGPD
La CNIL dispose d’un important arsenal de sanctions. Elles demeurent principalement dissuasives et ont pour objectif de vous inciter à vous mettre en conformité en cas de contrôle.
Parmi ces outils, la chaine de répression la plus communément utilisée est :
- la mise en demeure de l’organisation suite aux constats de manquement durant le contrôle ;
- si rien n’a été fait pour palier à ces manquements : une sanction pécuniaire pouvant aller jusqu’à 4 % du chiffre d’affaires du groupe ou 20 millions d’euros.
En observant le panorama des sanctions, vous noterez que la CNIL cible tous types d’organisations, allant du grand groupe comme Bouyges Telecom à la PME spécialisée dans la télésurveillance d’ascenseurs!
Pour 2019, plusieurs sources font état d’une volonté de la CNIL de renforcer ses contrôles sur les start-ups (Med Tech, Fin Tech, Ad Tech) et les agences immobilières qui traitent toutes un nombre important de données personnelles.
Ce renforcement s'inscrit dans le contexte actuel où l'ANSSI alerte sur une augmentation des attaques par rebond depuis le début de l’année.
Quelles sont les questions à se poser pour vérifier sa conformité au RGPD ?
Le RGPD repose sur 3 principes clés : Transparence - Confiance – Responsabilité. Beaucoup d’articles de ce règlement sur le traitement de la donnée relèvent du bon sens moral. Garder ces notions en tête vous permettra d’éviter un bon nombre d’erreurs.
Dois-je nommer un délégué à la protection des données (DPO) ?
Nommer un DPO n’est pas obligatoire pour toutes les entreprises, même si vous traitez des données personnelles. Néanmoins, le rôle du DPO dans la conformité au RGPD peut être important. Concrètement, l’article 37 détermine 3 cas dans lesquels vous devez nommer un DPO :
- Le traitement de données personnelles est mis en œuvre par une autorité publique ou un organisme public ;
- L’entité concernée a pour activité de base la mise en œuvre de traitement de données qui, du fait de leur nature, de leur portée ou de leur finalité, exigent un suivi régulier et systématique à grande échelle d’individus ;
- L’entité concernée a pour activité de base la mise en œuvre de traitement à grande échelle de catégories particulières de données (données de santé, relatives aux opinions philosophiques, religieuses, etc.) et de données relatives à des condamnations pénales ou des infractions.
Dois-je faire une analyse d’impact (AIPD) ?
L’Analyse d’Impact relative à la Protection des Données (AIPD) sera nécessaire si le traitement des données est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées.
Pour savoir si le traitement des données présente un risque élevé, la CNIL a identifié 9 critères :
- Données traitées à grande échelle ;
- Données sensibles (raciales, ethnique, biométriques, ...) ;
- Données concernant des personnes vulnérables (patients, personnes âgées, enfants) ;
- Croisement ou combinaison de données ;
- Évaluation/ profilage ;
- Prise de décision automatisée avec un effet juridique ou similaire ;
- Surveillance systématique de personnes ;
- Traitement pouvant exclure du bénéfice d'un droit, d'un service ou d'un contrat ;
- Utilisation innovante ou application de nouvelles solutions technologiques ou organisationnelles.
Si vous êtes concernés, téléchargez le logiciel open source PIA.
Quelles données puis-je recueillir ?
Soyez transparent sur la façon dont vous utilisez les données d’un utilisateur ou client lors de la collecte. Par exemple, vous devez expliquer quelles sont les finalités d’usage des cookies que vous employez.
Ne récoltez que des données qui sont nécessaires au bon fonctionnement de votre entreprise. Typiquement, vous n’avez pas besoin de connaître le groupe sanguin d’un client si vous proposez des assurances habitations !
Comment garder les données recueillies ?
Vous devez sécuriser vos données ! C’est un point crucial du RGPD qui a pour objet de protéger les citoyens européens en leur donnant plus de maîtrise sur leurs données, mais aussi en imposant à ceux qui les détiennent de mettre en œuvre les moyens nécessaires pour les protéger.
Concrètement, les articles 33 et 34 stipulent qu’en cas de fuite de données, vous êtes dans l’obligation de le notifier aux personnes concernées ainsi qu’aux autorités de contrôle compétentes dans un délai de 72h après en avoir pris connaissance, à moins que la violation « ne soit pas susceptible d'engendrer un risque pour les droits et libertés des personnes physiques ».
L’article 34 précise que la communication à la personne concernée n'est pas nécessaire si « le responsable du traitement a mis en œuvre les mesures de protection […] qui rendent les données à caractère personnel incompréhensibles pour toute personne qui n'est pas autorisée à y avoir accès, telles que le chiffrement des données. »
Combien de temps puis-je conserver les données personnelles de mes clients ?
La durée de conservation des données personnelles doit être définie en fonction de l’objet de leur traitement. Une fois dépassée, les données doivent être archivées, supprimées ou anonymisées. La CNIL recommande par exemple que «les données d’un prospect qui ne répond plus à aucune sollicitation soient supprimées au bout de 3 ans. »
Quels sont les droits des utilisateurs sur leurs données ?
Les utilisateurs doivent être en mesure de consulter les données que vous possédez sur eux s’ils en font la demande. Vous devez donc leur fournir un moyen simple de les télécharger.
Les utilisateurs ont le droit à la rectification ou à la suppression de leurs données et doivent donc pouvoir le faire facilement depuis votre site.
Les utilisateurs peuvent s’opposer à la récolte, au traitement et la diffusion de leurs données.
Quels documents sont nécessaires pour prouver sa conformité ?
Le RGPD repose également sur un principe de preuve : en cas de contrôle, la CNIL doit pouvoir accéder facilement aux informations permettant d’identifier la façon dont vous traitez les données personnelles.
Le document qui fera foi en cas de contrôle est le registre des activités de traitement. Il devra comprendre les éléments suivants :
- Les parties prenantes (représentants, sous-traitants, co-responsables, etc.) qui interviennent dans le traitement des données ;
- Les catégories de données traitées ;
- À quoi servent ces données (ce que vous en faites), qui accède aux données et à qui elles sont communiquées ;
- Combien de temps les conserver ;
- Comment elles sont sécurisées.
Pour aller plus loin, nous vous conseillons le très bon MOOC élaboré par les juristes et experts de la CNIL.
Pour une check-list rapide sur la conformité au RGPD, consultez notre article dédié au RGPD pour les nuls.
Better Seald than sorry.