logo_Foliateam

GDPR/RGPD
Êtes-vous prêt en cas de contrôle de la CNIL ?

Le GDPR ou en français, Règlement Général sur la Protection des Données (RGPD) a soufflé sa 4ème bougie !

Un peu d’histoire…Saviez-vous que le déploiement du RGPD dans l’espace européen s’était fait en deux temps ?
Le 14 avril 2016, le Parlement a validé l’adoption définitive du texte, suivi quelques jours plus tard, le 27, de sa promulgation au Journal officiel. Néanmoins, son application a été décalée de deux ans, au 25 mai 2018.

Pourquoi ce laps de temps ? Et bien cela représente la préparation nécessaire aux législations nationales et aux entités procédant à la collecte et au traitement des données personnelles. Alors 4 ans plus tard, les entreprises se sont-elles mises en conformité ?
Théoriquement, depuis le 25 mai 2018, tout traitement en infraction avec le GDPR peut déboucher sur des sanctions même si jusque-là la CNIL fut indulgente. Alors le GDPR, 4 ans après ça donne quoi et que faut-il faire pour se mettre en conformité ?

Le RGPD, ça a changé quoi ?

Souvent le RGPD est associé aux données collectées lors d’actions commerciales et à la confidentialité de ces dernières. En effet, cela s’est traduit par des mises à jour de politique de confidentialité, notamment sur les sites internet où l’on a vu proliférer des encarts d’avertissement avant d’accéder au contenu du site. Les entreprises ont dû revoir toutes leurs procédures concernant les informations qu’elles collectent sur leurs clients/ prospects dans le cadre de leur activité.

C’est d’ailleurs dans ce cadre qu’aujourd’hui, les entreprises offrent le choix des informations auxquelles leurs clients/ prospects peuvent s’abonner ‘volontairement’. Par exemple, pour confirmer une commande il faut valider les conditions générales et associé à cette étape obligatoire, les professionnels du webmarketing proposent dorénavant de choisir entre s’abonner à leur Newsletter et/ou à celle de leurs partenaires, ou tout autre contenu afin de fidéliser leur communauté dans le temps. Cela permet donc à vos visiteurs de décider quels types d’information ils souhaitent, ou non, recevoir alors qu’auparavant cela n’était pas forcément très clair.

Mais saviez-vous que le GDPR c’est aussi la protection des données des collaborateurs de l’entreprise ? Par exemple, en tant qu’entreprise vous avez accès à des données très personnelles telles que la rémunération et les déclarations sociales obligatoires ; la gestion administrative du personnel (exemple : type de permis de conduire détenu ou coordonnées de personnes à prévenir en cas d’urgence) ; l’organisation du travail (exemple : photographie facultative de l’employé pour les annuaires internes et organigrammes) ; …

Que ce soit pour des fins commerciales ou pour les dossiers de vos collaborateurs, le RGPD a pour objectif de valider la sécurité et la confidentialité des données. Toutes ces informations doivent être répertoriées et en tant qu’entreprise vous devez pouvoir justifier de leur utilité. Par exemple, dans le cadre de votre activité est-il nécessaire que vous connaissiez leurs opinions politiques, religions, origines ethniques… Si oui, dans ce cas-là nous parlerons de données sensibles et si vous devez en traiter, des obligations particulières sont applicables.

« Le GDPR renforce l’obligation d’information et de transparence à l’égard des personnes dont vous traitez les données (clients, collaborateurs, etc.)”. source CNIL

RGPD : La réalité un an après !

Maître Anne-Sophie POGGI, Avocate à la Cour spécialisée en droit de la donnée a réalisé une interview pour le magazine en ligne IT Social et explique que « Les entreprises françaises se sont mises en ordre de marche très tardivement. On a beaucoup communiqué sur l’entrée en application du 25 mai 2018, mais personne n’a entamé de processus dès l’adoption de ce règlement en avril 2016 comme ce fut le cas en Allemagne.

Nous restons en France dans une logique de « pas vu, pas pris » et on attend de voir comment la CNIL va réagir. La moitié des entreprises a entamé un processus de mise en conformité. »

Ce constat s’associe inévitablement à la sanction qualifiée de « record » qu’a subi Google en Janvier 2019 de la part de la CNIL Française : une amende de 50 Millions d’Euros.

Pourquoi une telle amende ? La CNIL estime que le géant américain du Web n’informe pas assez les internautes sur le traitement de leurs données et qu’il ne dispose pas d’une base juridique valable pour traiter les données personnelles des utilisateurs de ses services, notamment à des fins de publicités ciblées.

C’est pourquoi Google propose désormais une nouvelle option à ses utilisateurs leur permettant de donner une date d’expiration à leurs données personnelles qui seront automatiquement supprimer.

Le 15 avril dernier, la nouvelle présidente de la Commission Nationale de l’Informatique et des Libertés (CNIL), Marie-Laure Denis, a annoncé que « la CNIL sera plus ferme envers les entreprises ». Elle estime que la Cnil s’est montrée très “patiente”, et que dorénavant l’institution compte renforcer ses contrôles et ses sanctions pour pousser les entreprises et les organisations à accélérer leur mise en conformité. Sinon, les amendes pourraient pleuvoir…

Quels sont les axes prioritaires de contrôle pour 2019 ?

Marie-Laure Denis précise que « Le premier axe est le respect de tous les droits des individus comme le droit de rectification, d’opposition, d’oubli, le déréférencement, etc.

Le deuxième est le contrôle des sous-traitants, tous secteurs confondus, qui doivent aussi être conformes, même s’ils n’ont pas affaire au consommateur final, en travaillant notamment avec les têtes de réseau dans chaque secteur.

Le troisième axe est la protection des droits des mineurs sur Internet, sur les réseaux sociaux, notamment.

Enfin, je souhaite que la CNIL exploite davantage les plaintes des concitoyens pour y répondre au plus vite, tout en sachant que 20% des plaintes reçues font l’objet d’une coopération européenne. »

Quelques Chiffres :

  • 8 000 000 (+80%) visiteurs uniques sur le site de la CNIL en 2018
  • 300 000 (+60%) consultations des questions/réponses
  • 190 000 (+20%) appels téléphoniques, dont 25 000 en Mai 2018, pour l’entrée en vigueur du RGPD
  • 11 077 (+32.5%) plaintes ont été adressées à la CNIL en 2018
  • 17 000 DPO agissent aujourd’hui en France pour plus de 51 000 entreprises et organisations.

RGPD & Entreprise : Comment se mettre en conformité en 3 étapes ?

Quelle que soit la taille de votre organisation, votre entreprise est concernée par le RGPD car il y a des traitements de données partout. Il recommandé de nommer un Délégué à la Protection des Données (DPO) mais toutes les entreprises ne sont pas obligées d’en avoir un.
Seules les entreprises publiques et celles qui traitent des données à grande échelle ou des données “sensibles” sont concernées.
Outre ces aspects, nous vous proposons 3 actions vous permettant de vous mettre en conformité GDPR

1. Constituez un registre de traitement des données et faites le tri

Ce registre est placé sous la responsabilité du dirigeant de l’entreprise. Pour avoir un registre exhaustif et à jour, il faut en discuter et être en contact avec toutes les personnes de l’entreprise susceptibles de traiter des données personnelles.

La constitution du registre vous permettra de vous interroger sur les données dont votre entreprise a réellement besoin. Pour chacune des fiches de registre créées, il faudra vérifier que : [/vc_column_text][mk_custom_list]

  • Les données traitées soient nécessaires à votre activité (par exemple, il n’est pas utile de savoir si vos salariés ont des enfants, si vous n’offrez aucun service ou rémunération attachée à cette caractéristique) ;
  • Aucune donnée dite « sensible » ne soit collectée ou, si c’est le cas, que vous avez bien le droit de les traiter ;
  • Seules les personnes habilitées ont accès aux données dont elles ont besoin ;
  • La durée de conservation des données ne va pas au-delà de ce qui est nécessaire.

Ce sera l’occasion d’améliorer vos pratiques et de faire le tri sur les données collectées, en éliminant de vos bases de données toutes les informations inutiles. Enfin, il est recommandé aux entreprises d’automatiser le plus possible toutes les règles liées à l’effacement ou à l’archivage des données sur une durée précise.

2. Respectez les droits des personnes et simplifiez l'exercice de leurs droits

Le RGPD a pour objectif d’informer les personnes sur les données collectées et leur utilisation. Les entreprises ont donc un devoir de transparence :

  • Pourquoi ces données sont-elles demandées ? Quelle est la finalité ?
  • Qu’est-ce qui vous autorise à traiter ces données ?
  • Qui a accès aux données ?
  • Quelle est la durée de conservation de ces données ? (Exemple : « 5 ans après la fin de la relation contractuelle ») ;
  • Les modalités selon lesquelles les personnes concernées peuvent exercer leurs droits à l’oubli, de modification…

La CNIL accompagne les entreprises en proposant des exemples de mentions.

Les personnes dont vous traitez les données (clients, collaborateurs, prestataires, etc.) ont des droits sur leurs données, qui sont renforcés par le RGPD : droit d’accès, de rectification, d’opposition, d’effacement, à la portabilité et à la limitation du traitement.

En tant qu’entreprise, vous devez leur donner les moyens d’exercer leurs droits. Si vous disposez d’un site web, prévoyez un formulaire de contact spécifique, un numéro de téléphone ou une adresse de messagerie dédiée.

Selon le RGPD, vous devez également effectuer le traitement des demandes dans des délais courts (1 mois au maximum).

3. Sécurisez les données et assurez leur confidentialité

Si le risque zéro n’existe pas en informatique, il faut prendre les mesures nécessaires pour garantir au mieux la sécurité des données. En tant qu’entreprise vous avez l’obligation légale d’assurer la sécurité des données personnelles que vous détenez, que ce soit sur vos collaborateurs ou sur vos clients.

Vous garantissez ainsi l’intégrité de vos données en minimisant les risques de perte de données ou de piratage.

Des procédures doivent être mises en place comme les mises à jour de vos antivirus et logiciels, changement régulier des mots de passe et utilisation de mots de passe complexes, ou chiffrement de vos données dans certaines situations. En cas de perte ou vol d’un outil informatique, il sera plus difficile pour un tiers d’y accéder.

Demandez à votre responsable informatique ou votre prestataire combien de fois vos utilisateurs activent la fonctionnalité « oubli de mot passe » chaque année. Si ce taux est faible voire nul, c’est que votre politique de gestion des mots de passe n’est pas assez exigeante !

La Directive européenne sur les Services de Paiement (DSP) qui vise à encadrer le marché des paiements va être généralisée en septembre 2019 et elle concernera les entreprises proposant notamment du paiement en ligne. Ainsi, les entreprises concernées devront mettre en place des systèmes d’authentification plus poussés pour tout paiement supérieur à 30€. L’objectif étant bien évidemment de protéger le consommateur, de sécuriser et de réduire les fraudes dans le domaine de l’E-commerce.

Pour cela, l’internaute devra renseigner obligatoire au minimum 2 indicateurs permettant de l’identifier : Mot de passe, SMS sur le mobile, donnée biométrique… Si cette obligation n’est pas respectée, les paiements seront refusés automatiquement par les banques.

Les lois sur la protection des données n’ont pas fini de faire parler d’elles ! En France, la CNIL est très active dans l’accompagnement des entreprises et vous propose plusieurs outils pour la mise en conformité de votre structure.

Vous souhaitez héberger vos données ?

Foliateam, hébergeur de services Cloud et propriétaire d'un datacenter à Paris, vous accompagne dans votre projet

Vous travaillez dans le Cloud ou avez un projet ?

Découvrez le SD-WAN ! Le nouveau réseau d'entreprise qui révolutionne la connectivité et le travail en mode Cloud !