Flashcamp #26 la conformité au RGPD, pourquoi ? pour qui ? comment ?
La RGPD ou Règlement Général sur la Protection des Données a pour objet la responsabilisation des organismes publics et privés sur leur exploitation des données à caractère personnel qu’il possèdent. Il s’agit bien souvent d’un texte perçu par les entrepreneurs comme “barbare”, avec une mise en œuvre chronophage et complexe. Ils ne savent pas toujours en quoi la réglementation consiste, ni ce qu’elle peut leur apporter.
Frédérick Dupont, fondateur de la société FDU Conseil, est certifié en tant que DPO (Data Protection Officer). Il est également expert depuis 15 ans en audit des systèmes d’information et en traitement de données. FDU Conseil est une structure créée en 2012 et spécialisée dans la maîtrise des risques liés aux systèmes d’information, les sujets liés aux Big Data et la formation sur ces thématiques. Il intervenait le 21 janvier dernier sur la mise en conformité et ses notions fondamentales.
En préambule de son intervention, Frédéric Dupont rappelle que le RGPD est établi depuis 2018, et qu’il concerne toute société qui a des salariés et est donc susceptible de collecter des données à caractère personnel.
Tout d’abord, il faut distinguer les données à caractère personnel des données sensibles. Ces dernières peuvent concerner la santé de la personne, ses opinions politiques, religieuses. La donnée personnelle est un terme très large. Une donnée peut être qualifiée de personnelle si elle peut être rattachée à une personne ou permettre de l’identifier. A titre d’exemple, dans le cas d’une montre connectée qui compte les pas, si on peut récupérer le nom de la personne qui marche, cela devient une donnée personnelle. Si la montre fait également électrocardiogramme, cela peut devenir une donnée à caractère médical, donc une donnée sensible.
Presque tous les domaines d’une société peuvent être impactés par cette réglementation : la gestion commerciale, la finance, les RH, la logistique, la communication… Dans le cas d’un non-respect du RGPD, la Commissions Nationale de l’Information et des Libertés (CNIL) peut prendre des sanctions financières (environ 2-4% du CA dans le privé, jusqu’à 20millions d’euros dans le domaine public) mais il peut aussi y avoir des sanctions pénales.
Le RGPD ne concerne que les personnes physiques, citoyens européens, et constitue avant tout un renforcement du droit des personnes. Toute personne physique a ainsi des droits sur les données à caractère personnel : d’accès, de rectification, d’effacement, de limitation, d’opposition (attention, cependant, dans le cas d’un ancien salarié de l’entreprise, le droit d’effacement n’est pas possible). Frédéric recommande aux sociétés qui souhaitent se mettre en conformité de dédier une adresse mail à ces questions de gestion de données.
Pour la mise en place du RGPD, un DPD (Délégué à la protection des données) doit être désigné dans l’entreprise. Cette fonction peut être traitée en interne ou externalisée.
Lors de la collecte des données, il faut toujours penser à l’impact sur la personne (en cas de corruption, d’utilisation de la donnée par exemple). Il est donc nécessaire de poser une base légale de collecte pour laquelle on aura le consentement des personnes, consentement qui doit être libre, démontré, retirable, éclairé et univoque (pas de case pré-cochée ou d’accord oral). En résumé, la personne physique qui communique ses données ne doit avoir aucun doute sur l’information qu’elle donne, comment la société va l’utiliser et pour combien de temps.
A cette fin, plusieurs questions sont à se poser lors de la collecte :
- Quelle est la finalité de la donnée (dans le cas d’une relation contractuelle, commerciale, dont peut dépendre la durée d’utilisation ou de conservation de la donnée) ?
- Qui va les utiliser ?
- Où seront-elles stockées (en évitant la démultiplication de supports) ?
Cela permet ensuite de déterminer les acteurs de la protection des données : le responsable du traitement (l’entité), le sous-traitant (tout ce qui gravite autour de la société et peut collecter des données pour son compte comme un expert-comptable, ou un hébergeur web) et le destinataire (celui qui va utiliser la donnée comme le chargé de paye).
Toutes ces informations vont ensuite figurer dans un registre (dont le modèle est disponible sur le site de la CNIL), ainsi que dans des analyses d’impact/de risques. Celui-ci est fortement recommandé par Frédéric car il permet de structurer la donnée, et doit être actualisé une fois par an par le DPD.
Pour résumer, la mise en conformité au RGPD pour une société passe par :
- La cartographie des processus et des données collectées à cette occasion
- La classification des données en fonction des processus
- La définition du risque pour chaque donnée : son caractère personnel ou sensible, sa confidentialité, le risque si la donnée est altérée ou perdue…
Respecter le RGPD, ce n’est pas seulement une mise en conformité. Il s’agit d’une démarche longue mais nécessaire, et également d’une opportunité de se poser les bonnes questions et d’anticiper les risques liés aux traitements de données. Le RGPD constitue ainsi un vecteur de confiance et d’adhésion pour l’entreprise et ses parties prenantes.