Trouvez votre solution

1

Vous voulez... Financer votre activité, un investissement, un projet...

2

Dans quel but ? Acquérir un matériel ou un bien immobilier

3

Pour quel objectif ? Disposer d’une avance de vos effets de commencer en attente de paiement

recommencer

Trouvez votre solution

  1. 1

    Vous voulez... Financer votre activité, un investissement, un projet...

  2. 2

    Dans quel but ? Acquérir un matériel ou un bien immobilier

  3. 3

    Pour quel objectif ? Disposer d’une avance de vos effets de commencer en attente de paiement

recommencer

Contactez-nous
  • Faire le bilan
  • Nommer un DPO
  • Un registre à jour
  • Faire une étude
  • Les notifications
Contactez-nous
Article précédent Que faire après un contrôle de l’Urssaf
Article suivant Impression 3D : protégez votre propriété intellectuelle

Conformité au RGPD : conseils pour la dernière ligne droite

05/02/2018

Le RGPD (règlement général sur la protection des données) entre en vigueur le 25 mai 2018. Vous vous exposez à de lourdes sanctions financières si vous n’êtes pas au rendez-vous. L’heure est donc aux derniers préparatifs ! Voici des conseils et des ressources pour finaliser votre mise en conformité.

22% des entreprises ne seront pas en conformité. Et vous ?

22% des entreprises françaises ne seront pas en conformité avec le RGPD (règlement général sur la protection des données ou, en anglais, General data protection regulation - GDPR) le jour J, selon une étude de Proofpoint publiée en décembre.

Face à la complexité de la réglementation, certaines entreprises font le choix de se contenter de limiter leur exposition au risque plutôt que de viser une pleine conformité. Pourtant, cela peut leur coûter cher : les amendes (4% du chiffre d’affaires de l’entreprise) pourront atteindre jusqu’à 3 M€ !

Prévoyants, 36% des décideurs IT français déclarent que leur entreprise est financièrement préparée à couvrir les amendes.

Pour savoir où vous en êtes de votre mise en conformité, de nombreux organismes ont édité des check-lists. L’une des plus complètes émane du CIGREF*, de l’AFAI** et de TECH IN France***. Leur check-list est composée d’un guide d’auto-évaluation de 50 questions : 16 questions concernent la gouvernance, 18 portent sur les métiers et 16 sur le système d’information et la cybersécurité.

Afin de parer au plus pressé, voici quatre vérifications particulièrement importantes à effectuer et des solutions pour être en conformité le 25 mai 2018.

Vérification 1 : avez-vous nommé votre DPO ?

L’article 37 du RGPD impose la désignation d’un DPO (data protection officer) ou DPD en français (délégué à la protection des données) dans les entreprises qui assurent un « suivi régulier et systématique des personnes" ou qui "traitent des données sensibles à grande échelle ».

Qu’est-ce que cela signifie concrètement ? Le groupe de travail composé des « CNIL européennes », alias le G29, donne quelques exemples : sont concernées les entreprises qui ont des activités de marketing fondées sur les données, la géolocalisation par des applications mobiles, ou mettent en place des programmes de fidélité…

Le DPO est le garant du respect de la législation en matière de données personnelles. En cas de manquement à la loi, il est tenu d'alerter sa direction dans les plus brefs délais.


Que faire pour être en conformité au 25 mai 2018 ?

  • Promotion interne : le DPO est une évolution naturelle pour le CIL (correspondant informatique et libertés) si l’entreprise en est dotée, sous condition qu’il se forme au RGPD et à ses nouvelles missions. C’est également une possibilité pour un juriste spécialisé dans les nouvelles technologies de l’information, un informaticien ou un expert en cybersécurité.
  • La fonction de DPO peut être exercée à temps partiel. Mais, dès lors, attention au conflit d’intérêts. Ce professionnel ne peut occuper des fonctions au sein de l’entreprise le conduisant à déterminer les finalités et les moyens d’un traitement****, ce qui le conduirait à être juge et partie. Le DPO doit pouvoir exercer sa mission en toute indépendance.
  • Le recrutement : si la fonction de DPO ne peut être pourvue en interne, le recrutement est une option. Néanmoins, la démarche risque d’être ardue, surtout aussi proche de l’échéance. En effet, les DPO sont des profils très recherchés et rares. À toutes fins utiles, sachez que l’AFCDP***** propose une rubrique Offres d’emploi sur son site où vous pouvez y déposer la vôtre.
  • L’externalisation et la mutualisation : ces deux possibilités offertes par le RGPD sont à envisager car elles sont probablement plus rapides à mettre en œuvre dans un premier temps. Un groupe d'entreprises peut ainsi désigner un seul DPO, à condition qu'il soit facilement joignable à partir de chaque lieu d'établissement. Il est également possible d’externaliser cette fonction auprès d’un prestataire ou d’un cabinet d’avocats.

À noter que le responsable d’un traitement de données à caractère personnel (en général, le représentant légal de la personne morale) ou le sous-traitant doivent publier les coordonnées du DPO et les communiquer à la CNIL.



Vérification 2 : avez-vous un registre des traitements à jour ?

L’article 30 du RGPD impose la tenue d’un registre des activités de traitement effectuées : il doit être mis à disposition de la CNIL si elle en fait la demande. En effet, il remplace les obligations déclaratives auprès de la CNIL.

Premières concernées les entreprises de 250 salariés et plus. Mais, les PME sont également ciblées dès lors que le traitement qu'elles effectuent est susceptible de comporter un risque pour les droits et libertés des personnes concernées, qu'il est récurrent ou porte sur certaines catégories de données (visées par les articles 9 paragraphe 1 et 10).


Que faire pour être en conformité au 25 mai 2018 ?

Seule une entreprise française sur deux (55%) semble avoir déjà identifié quelles données personnelles sont en sa possession et comment elles sont traitées, selon l’étude de Proofpoint, précédemment mentionnée.

La mise en conformité commence par un effort de recensement des traitements existants. Il est par ailleurs important de passer en revue tous les services de l’entreprise. Pour chaque traitement recensé, il convient de se poser six questions et de reporter les réponses dans le registre : qui (responsable de traitement, responsables opérationnel, sous-traitants…) ? Quoi (catégories de données traitées et les risques associés) ? Pourquoi (les finalités de traitement) ? Où (hébergement des données) ? Jusqu’à quand (durée de conservation des données) ? Comment (mesures de sécurité) ?Le registre doit être tenu à jour et tout nouveau traitement doit notamment y être intégré.

Sur son site, la CNIL fournit quelques bonnes pratiques pour cartographier les données traitées et remplir le document, ainsi qu’un modèle de registre.



Vérification 3 : quid des études d'impact ?

L’article 35 du RGPD impose une étude d’impact relative à la protection des données (DPIA pour data privacy impact assessment) lorsque le traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées. Son but est donc de détecter en amont les risques de violation de la vie privée et de fuites des données personnelles que vous traitez et d’y apporter des parades.La DPIA n’est donc pas obligatoire dans tous les cas. La CNIL liste les types d'opérations de traitement pour lesquels une DPIA est requise ou non.


Que faire pour être en conformité au 25 mai 2018 ?

Un process doit être mis en place avant le lancement de tout nouveau traitement : pour déterminer quand et comment mettre en œuvre une DPIA.

Pour savoir si une DPIA est nécessaire, voici des éléments de réponse avec une infographie d’iProspect :

Dans quel cas votre entreprise doit-elle réaliser une étude d’impact ?

Par ailleurs, pour vous accompagner dans cette démarche, la CNIL met gratuitement à disposition un logiciel open source DPIA.

Vous pouvez également vous appuyer sur les trois guides pratiques de la CNIL sur le sujet.



Vérification 4 : êtes-vous prêt pour notifier les fuites ?

Dans ses articles 33 et 34, le RGPD prévoit de nouvelles obligations en termes de notifications et de communication.

Par exemple, les sous-traitants ont obligation de notifier "dans les meilleurs délais" au responsable du traitement tout manquement à la confidentialité et toute atteinte à l’intégrité ou à la disponibilité des données et ce, quelle que soit la gravité.

Ensuite, le responsable du traitement doit en informer la CNIL, dans les 72 heures après en avoir eu connaissance.

Enfin, lorsque le risque de violation des données est élevé, l’entreprise doit avertir, dans les meilleurs délais, les personnes concernées. Cette notification peut coûter très cher aux entreprises en termes d’e-réputation mais également en termes organisationnels.

Le G29 a listé quelques facteurs permettant d’évaluer la gravité du risque et donc de savoir si la violation doit être communiquée ou non.

Que faire pour être en conformité au 25 mai 2018 ?

Il convient de définir les procédures internes à activer en cas de violation de données personnelles afin de la notifier à qui de droit, en temps et en heure. Ce plan d’urgence doit être clairement déterminé en fonction de différents scénarios, testé, évalué et corrigé. Il est possible de s’inspirer du processus de gestion des incidents défini par la norme ISO/IEC 27035 relative à la gestion des incidents de sécurité de l'information, dont la CNIL fournit un résumé.

Voici un arbre de décision proposé par la CNIL permettant de visualiser les différentes étapes, de la détection des incidents aux notifications nécessaires :

Comment notifier une violation de données personnelles ?

Pour assurer la traçabilité, vous devrez documenter la notification en tenant un journal.

Enfin, la conformité au RGPD passe par une sensibilisation de tous les services concernés en communiquant, voire en formant, sur ces procédures.





* Club informatique des grandes entreprises françaises.
** Association française de l'audit et du conseil informatique.
*** L’une des instances représentatives des entreprises du numérique.
**** Un traitement est une opération, ou un ensemble d’opérations, portant sur des données, quel que soit le procédé utilisé : collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission diffusion ou toute autre forme de mise à disposition, rapprochement ou interconnexion, verrouillage, effacement ou destruction...
***** Association française des correspondants à la protection des données à caractère personnel.


Nous vous recommandons également
ARticle
Protéger et sécuriser vos données

De nombreuses menaces planent sur vos données. Voici quelques précautions pour minimiser les risques.

ARticle
Comment assurer la protection des données ?

La déferlante des données ou Big Data : quel intérêt pour votre activité ?

ARticle
Optimiser ma réputation grâce au web social ?

Comment exister sur le web et soigner sa réputation au quotidien ?