Actualités

Le règlement 2016/679 du 27 avril 2016 « relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données », plus communément dénommé Règlement Général sur la Protection des Données ou « RGPD » entre dans notre droit positif le 25 mai 2018.

Avec son entrée en vigueur, le système de la protection des données à caractère personnel évolue, tant au niveau des droits des personnes concernées par un traitement que des obligations des responsables de traitements.

Au niveau des droits des personnes concernées, le droit à l’oubli est consacré, le droit à l’information est renforcé avec notamment, en cas de violation de leurs données personnelles, l’apparition d’un droit à notification et le droit à la portabilité est créé.

Ces évolutions ou créations de droits pour les personnes concernées sont, par effet miroir, autant d’obligations pour les responsables de traitement qui doivent mettre en place au sein de leur entreprise les outils et les processus nécessaires pour répondre à ces droits.

Au niveau du responsable de traitement, la disparition du régime de la déclaration des traitements auprès des autorités de contrôles et son remplacement par la tenue d’un registre des activités de traitements ou encore la nécessité de réaliser une étude d’impact avant la mise en œuvre de certains traitements sont autant de modifications que le responsable de traitement doit désormais mettre en œuvre au sein de son entreprise ou organisation.

L’enjeu de la mise en conformité est loin d’être neutre compte tenu de la sévérité des condamnations pécuniaires pouvant désormais être prononcées par l’autorité de contrôle au titre de l’article 83 du RGPD.

La mise en conformité est un processus propre à chaque entreprise ou organisation.  En effet, même si des étapes logiques sont communes à tous les processus de mise en conformité, il dépend avant tout des caractéristiques particulières à l’entreprise ou à l’organisation qui l’initie.

Ainsi une entreprise ayant pour activité principale le conseil en marketing ne suivra pas le même processus de mise en conformité qu’une banque ou une compagnie d’assurance.

La taille de l’entreprise mais aussi l’organisation de son système d’information influe également sur la démarche de mise en conformité.

Les points d’attention pour la mise en conformité d’une PME comptant une centaine de salariés réunis sur un seul site avec un unique système d’information ne sont bien sûr pas les mêmes que ceux d’une entreprise similaire avec un système d’information entièrement hébergé chez un prestataire externe ou ceux d’un groupe comptant plusieurs filiales et des milliers de collaborateurs répartis sur plusieurs sites à travers le monde.

La prise en compte de ces particularités propres à chaque entreprise a pour conséquence qu’une mise en conformité ne peut être correctement effectuée qu’à la condition d’être personnalisée et adaptée à l’entreprise.

Malgré les nécessaires particularités propres à chaque entreprise ou organisation, le processus de mise en conformité s’articule tout de même autour de deux grandes phases.

La mise en conformité commence d’abord par une phase d’audit qui permettra d’établir un état des lieux (I). Sur la base de cet état des lieux, les entreprises pourront alors définir un plan de remédiation visant à rectifier les non conformités relevées lors de l’audit (II).

1. La phase d’audit et l’état des lieux

Le but de la phase d’audit est tout d’abord de cartographier les différents traitements de données à caractère personnel réalisés par l’entreprise et ensuite d’établir une analyse d’écart par rapport aux obligations et conditions définies dans le RGPD.

L’analyse de la conformité nécessite la mobilisation de connaissances à la fois techniques, notamment pour la détermination des aspects opérationnels des traitements et la sécurité des données traitées, mais également juridiques pour l’identification des données personnelles traitées et l’analyse de conformité par rapport aux conditions définies dans le RGPD.

Il est donc conseillé aux entreprises de veiller à ce que la composition de l’équipe mise en place, qu’il s’agisse de salariés de l’entreprise ou de conseils externes, soit une alliance de compétences techniques et juridiques afin de couvrir tous les aspects de la mise en conformité.

Afin d’établir la cartographie des traitements de données à caractère personnel réalisés par l’entreprise, l’équipe en charge de l’audit procède le plus souvent à une série d’entretiens avec les différents services de l’entreprise.

Cette série d’interviews aura pour but tout d’abord d’identifier les différents de traitements opérés ainsi que de comprendre la raison pour laquelle l’entreprise réalise un traitement donné. Il s’agit en d’autres termes de déterminer la finalité du traitement.

Cette étape de détermination de la finalité du traitement est cruciale pour la suite du processus, puisque plusieurs conditions de licéité du traitement dépendront directement de sa finalité (types de données collectées et traitées, durée de conservation…)

Les entretiens auront également pour objectif de prendre la mesure des modalités techniques des traitements, comme la méthode de collecte (formulaire rempli et transmis par les personnes concernées, données collectées par des fichiers cookies…), le processus de traitement, d’affinement et de croisement des données ainsi que le stockage des données personnelles traitées (hébergement en interne ou chez un prestataire tiers, niveau de sécurité des serveurs…).

La phase d’interviews est donc une étape nécessaire et de première importance pour la suite du processus de mise en conformité.

Elle nécessitera la mobilisation et la collaboration de la plupart des directions de l’entreprise, notamment la direction des systèmes d’information pour la compréhension des aspects techniques ainsi que,pour l’identification des traitements et la détermination de leur finalité, des directions et services bénéficiaires du traitement (comme les directions ou services marketing, métiers ou encore le service des ressources humaines pour les traitements portant sur les données des salariés).

En fonction des particularités de l’entreprise, l’audit pourra bien sûr comporter plusieurs autres étapes, impliquant notamment les fournisseurs de l’entreprise en cas de prestations externalisées affectant directement ou indirectement les traitements réalisés par l’entreprise.

A l’issue de la phase d’interviews, l’équipe en charge de la mise en conformité devra établir la cartographie des traitements de données personnelles opérés par l’entreprise ou l’organisation.

Cette cartographie aura pour but non seulement d’identifier les traitements réalisés, les types de données collectées et traitées, mais également les différents acteurs impliqués, notamment les prestataires ayant la qualité de sous-traitant au sens de l’article 28 du RGPD,

En effet, la mise en conformité dépasse le seul cadre du responsable de traitement, c’est-à-dire celui qui détermine la finalité et les moyens du traitement. Les éventuels sous-traitants du responsable de traitement doivent être pris en compte dans le cadre du projet de mise en conformité.

Au sens de l’article 28 du RGPD, le sous-traitant est celui qui réalise un traitement de données personnelles pour le compte d’un responsable du traitement, c’est-à-dire sans en déterminer la finalité ou les moyens et sur la base des instructions documentées fournies par le responsable de traitement.

Afin d’optimiser le processus de mise en conformité, la cartographie des traitements doit également permettre aux entreprises de déterminer un ordre de priorité dans la mise en conformité des traitements de données personnelles.

L’entreprise pourra ainsi par la suite prioriser la mise en conformité des traitements les plus importants soit du fait de la nature des données traitées (données sensibles), de leur caractère stratégique pour l’activité ou du volume des données traitées.

Sur la base de la cartographie des traitements, l’entreprise pourra déjà commencer à rédiger le registre de ses activités de traitement, obligation qui lui incombe désormais au titre de l’article 30 du RGPD et effectuer une analyse d’écart par rapport aux dispositions du RGPD.

Les écarts identifiés seront de différentes natures.

Ils pourront être d’ordre technique, comme par exemple, une faille de sécurité concernant le serveur sur lesquels les données sont stockées.

Ils pourront également être d’ordre juridique. Ce sera par exemple le cas lorsque du fait de l’analyse de la finalité du traitement, il ressortira que le responsable de traitements collecte des données personnelles qui ne sont pas nécessaires pour l’atteinte de l’objectif du traitement ou que la durée de conservation est excessive.

Cette analyse d’écart marque le passage à la seconde phase du processus de mise en conformité.

1. Le plan de remédiation et sa mise en œuvre

Il est certain qu’atteindre la conformité sera pour beaucoup d’entreprises un travail long et souvent fastidieux et que de très nombreuses entreprises ne seront d’ailleurs pas en conformité au jour de l’entrée en vigueur du RGPD. La CNIL en a bien conscience qui a déclaré « En présence d’organismes de bonne foi, engagés dans une démarche de conformité et faisant preuve de coopération avec la CNIL, ces contrôles n’auront normalement pas vocation à déboucher, dans les premiers mois, sur des procédures de sanction »[1]. . Il doit néanmoins être bien compris que les entreprises devront être, à compter du 25 mai 2018, en mesure de démontrer qu’elles ont pris le chemin de la conformité.

Les traitements de données sensibles doivent être privilégiés puisque dans la mesure où il s’agit des traitements représentant le plus de risques pour les personnes concernées, il y a fort à parier qu’il s’agira des traitements sur lesquels la CNIL sera la plus vigilante.

En vue d’atteindre la conformité, l’entreprise devra définir sur la base de l’analyse d’écart un plan des actions à mettre en œuvre pour corriger les écarts constatés.

Les actions devront être ordonnées selon l’ordre priorité que la cartographie des traitements aura permis de déterminer.

Les actions qui devront être mises en place pourront être de natures très diverses et seront la plupart du temps transverses à tous les niveaux de l’entreprise.

Parmi les actions qui devront nécessairement être mises en œuvre figurent tout d’abord celles qui correspondent aux nouveaux droits et obligations contenues dans le RGPD.

L’entreprise devra donc ainsi mettre en place le registre des traitements de données personnelles et, si elle y est tenue, nommer un délégué à la protection des données, le fameux « DPO ». Concernant le DPO, si l’entreprise disposait déjà d’un CIL, le choix du DPO sera assez évident.

Si elle n’en disposait pas, elle devra tout d’abord choisir entre un membre de son personnel ou tiers extérieur. Elle devra ensuite faire le choix d’une personne disposant à la fois des connaissances juridiques et techniques nécessaires pour répondre aux critères fixées par l’article 37 du RGPD.

L’entreprise devra également mettre en place les processus et interfaces nécessaires pour le respect des droits des personnes concernées, que ce soit le droit à l’information ou encore le droit d’accès et de rectification.

Concernant tous les droits qui existaient déjà sous l’empire de la directive 95/46, les tâches relatives à cette étape dépendront du niveau de maturité de l’entreprise en matière de protection des données personnelles.

Il pourra s’agir soit de la mise en place de quelques actions à la marge ou de corrections de surface, comme l’intégration de mentions d’informations plus compréhensibles, si le traitement opéré est conforme aux conditions de fond fixées par le RGPD.

En revanche, si le traitement n’est pas en conformité avec des conditions de fond fixées par le RGPD, les actions à mener pourront être beaucoup plus lourdes et s’apparenteront parfois à une véritable refonte de tout le processus, du traitement de la collecte des données jusqu’à leur stockage.

Cela pourra être le cas si, par exemple, le responsable de traitement n’a pas obtenu le consentement des personnes concernées alors qu’il s’agit de la base légale du traitement opéré ou encore si les données collectées et traitées font l’objet de transferts vers des territoires en dehors de l’Union Européenne ne présentant pas un niveau de protection jugé adéquat.

Les actions à mener pour atteindre la conformité dans de tels cas seront beaucoup plus conséquentes.

Parmi les actions attendues du responsable de traitement, il y aura également la mise en place des processus nécessaires au respect du droit à la portabilité des données et du droit à l’effacement des données.

A cette fin, le responsable de traitement devra anticiper le nombre de demandes qui pourront lui être adressées pour définir le bon mode opératoire afin de faire droit aux demandes.

Le nombre de ces demandes dépendra en grande partie de son champ d’activité. En effet, une banque ou une compagnie d’assurance seront plus exposées à des demandes en matière de droit à l’effacement des données ou de droit à la portabilité que des entreprises évoluant dans d’autres secteurs.

Afin de mettre en œuvre les droits des personnes concernées, dans le cas où le traitement est opéré par un sous-traitant, le responsable de traitement devra se rapprocher de ce dernier pour s’assurer qu’il lui donnera les moyens de donner suite aux demandes de portabilité, d’effacement des données personnelles, d’information ou d’accès dont les personnes concernées le saisiront.

Concernant les sous-traitants, la mise en œuvre du plan de remédiation pourra également aboutir à la négociation de nouvelles conditions contractuelles avec eux.

En effet, si à l’analyse des contrats conclus avec les sous-traitants, il ressort que les obligations incombant au responsable de traitement ne sont pas répercutées aux sous-traitants, il sera nécessaire de renégocier ces contrats.

L’enjeu, pour le responsable de traitement est de s’assurer que le contrat qui le liera avec son sous-traitant lui permettra de respecter toutes ses obligations au titre du RGPD.

Il sera nécessaire de prévoir dans ces contrats que le sous-traitant :

• Ne traitera les données personnelles que sur instruction documentée du responsable de traitement notamment en ce qui concerne les transferts de données à caractère personnel ;

• Veillera à ce que les personnes autorisées à traiter les données à caractère personnel s’engagent à respecter la confidentialité du projet ;

• Assurera la sécurité des données et à cet effet mettra en place les mesures organisationnelles et techniques appropriées pour protéger les données personnelles utilisées ;
• Informera immédiatement le responsable de traitement s’il lui apparaît qu’une instruction de ce dernier constitue une violation des dispositions du RGPD.

Le responsable de traitement devra également veiller à insérer expressément l’obligation pour le sous-traitant de mettre à sa disposition toutes les informations nécessaires pour démontrer le respect de ses obligations en qualité de responsable de traitement.

En effet, dans le cas où le responsable de traitement a confié les opérations de traitements à un prestataire de services il est entièrement dépendant de la collaboration de ce dernier pour tout ce qui concerne les informations relatives au traitement opéré.

Or le responsable de traitement a besoin de ces informations pour démontrer le respect par ses soins des dispositions du RGPD en cas de contrôle.

Le responsable de traitement devra également négocier l’insertion de clauses lui permettant la réalisation d’audits ou d’inspections destinés à vérifier le respect par le sous-traitant de ses obligations, notamment en matière de sécurité des données stockées.

Sur le plan interne la mise en conformité passera également par la définition des procédures nécessaires au respect des dispositions du RGPD (charte informatique, méthodologies).

Ce sera par exemple nécessaire pour les analyses d’impact qui doivent dorénavant devenir un réflexe des équipes projet dès lors qu’ils impliquent un traitement de données présentant un risque pour les droits et libertés des personnes physiques concernées.

L’acquisition par les salariés de l’entreprise de ce réflexe et de tous ceux nécessaires au respect des dispositions du RGPD nécessitera de la part de l’entreprise la mise en place d’actions de formation sur les droits et obligations en matière de protection des données à caractère personnel.

En effet, comme souvent en matière informatique, la premier facteur d’erreur est humain, et la mise en place de toutes les sécurités et procédures imaginables ne suffiront à pallier une méconnaissance ou une violation non intentionnelle, par les collaborateurs de l’entreprise, des obligations en matière de données personnelles.

La formation des salariés est donc primordiale. La formation des salariés de l’entreprise sera d’ailleurs nécessaire pour que la mise en conformité réalisée par le responsable de traitement s’inscrive dans la durée, et ce, malgré l’évolution des technologies, et des projets.

En effet, le véritable enjeu de la mise en conformité n’est pas uniquement de la réaliser mais également de la faire vivre et de l’installer dans la durée.

[1] Lettre CNIL 19 février 2018

 Pour plus d’informations

Me Sophie Haddad

shaddad@carler-france.com

50, rue Copernic
75116 Paris

T/ + 33 1 43 25 61 85

P/ + 33 6 10 84 04 90